Скрытие своего присутствия в сети и борьба с несанкционированным доступом к информации

Контрольная работа по дисциплине:

«Операционные системы, среды и оболочки»

На тему:

«Скрытие своего присутствия в сети и борьба с несанкционированным доступом к информации »

Содержание

Введение

1. Средства для скрытия своего присутствия в сети Интернет

1.1 Особенности и возможности программы Rootkit

1.1.1 Rootkit-технологии для Windows

1.1.2 Rootkit-технологии для UNIX

1.2 Другие виды скрытия своего присутствия в сети

2. Методы борьбы с несанкционированным доступом в сеть

2.1 Борьба с программой Rootkit

2.2 Методы защиты своей информации от несанкционированного доступа

Заключение

Список литературы

Введение

Актуальность данной работы состоит в том, что в наше время большое внимание уделяется информации, недаром наш век называют «информационным». Во время того, как люди познают технологии хранения и передачи информации, встает вопрос о ее защите от несанкционированного доступа к ней, а некоторым (хакерам) хочется остаться незаметными при использовании информации. Для решения этой проблемы было разработано большое количество разнообразных методов кодирования информации, которые могут быть реализованы программно. Защита информации представляет собой совокупность тесно связанных проблем в областях права, организации управления, разработки технических средств, программирования и математики.

Объектом исследования контрольной работы являются программы и виды мер для того, чтобы предотвратить несанкционированный доступ к ресурсам пользователей сети Интернет, а также комплекс действий и программ, чтобы остаться незамеченным при использовании какой либо информации в сети.

Предметом работы является подробное рассмотрение программы Rootkit и комплекса действий для ее блокирования.

Цель выполнения контрольной работы заключается в том, чтобы научиться оставаться незамеченным в сети Интернет, когда это необходимо и в случае необходимости защитить свою информацию от несанкционированного доступа.

Задача работы найти наиболее легкий и рациональный способ присутствия в сети незаметно, а также наилучшим способом научиться защищать свою информацию.

Практической ценностью данной контрольной работы является то, что она написана довольно понятно, а каких либо учебников или научной литературы по данной области исследования очень мало. В работе понятно рассказано, для некоторого числа опытных пользователей ПК, действие программ для скрытия своего присутствия в сети, а также методы борьбы с несанкционированным доступом к какой либо информации.

1.Средства для скрытия своего присутствия в сети Интернет

С одной стороны, анонимность в Интернете -- это иллюзия; с другой -- остаться неузнанным вполне реально. Главной уликой является IP-адрес, который выдается провайдером при выходе в онлайн. Согласно планируемым нововведениям, этот адрес должен будет храниться у провайдера еще шесть месяцев.

Однако маршрут вашего передвижения провайдеру неизвестен: сайты, которые вы посетили, можно вычислить только по лог - файлам серверов, на которых лежат эти самые сайты.

Выяснить ваше имя сумеет лишь тот, кто совместит эти файлы и информацию, сохраненную вашим провайдером. Причем это в теории, а на практике вы можете разорвать цепочку улик и обеспечить себе разумную степень анонимности.

1.1 Особенности и возможности программы Rootkit

Rootkit -- программа или набор программ для скрытия следов присутствия пользователя или вредоносной программы в системе. Термин Rootkit пришел из мира Unix и изначально им обозначался набор инструментов, необходимый пользователю после того, как он получил права суперпользователя (root) в атакуемой системе.

В процессе развития Rootkits претерпели ряд модификаций, и их основной задачей стало сокрытие деятельности взломщика от администратора системы. Первые Rootkit для Windows появились в конце прошлого века. Классиком этого направления считается Greg Hoglund, автор NT Rootkit, поддерживающий сервер www.rootkit.com.

1.1.1 Rootkit-технологии для Windows

Сокрытие присутствия в системе.

В настоящее время используемые rootkit методы сокрытия присутствия в системе можно разделить на две группы:

1.Модификация пути выполнения обработчиков;

2.Модификация системных структур.

Данные методы используются для сокрытия сетевой активности, ключей реестра, процессов, т.е. всех тех особенностей, который в той или иной мере позволяют пользователю обнаружить у себя на компьютере вредоносную программу.

Первый метод сокрытия информации может быть реализован как для режима пользователя, так и для режима ядра. Практическую реализацию для режима пользователя отличает сравнительная простота. Чаще других для модификации пути выполнения обработчиков здесь используется способ, основанный на перехвате вызов API-функций, показано на рисунке 1.

Рис. 1. Перехват обращений к API-функциям.

Данный способ основан на использовании особенности вызовов системных API-функций, которые производятся приложениями либо через специальные области данных (таблицы импорта/экспорта), либо обращением через полученный с помощью API-функции GetProcAddress адрес. Программный код реализуется в DLL-модулях, которые затем внедряются в адресные пространства существующих в системе процессов, что дает злоумышленнику возможность контролировать все пользовательские приложения. Рассмотренный процесс модификации пути выполнения обработчиков хорошо документирован и прост в реализации, что облегчает его использование в rootkit.

Но вместе с этим преимуществом подобная реализация, как и другие реализации rootkit пользовательского режима, обладает существенным недостатком -- низким качеством сокрытия информации. Это означает, что присутствие в системе rootkit пользовательского режима без труда можно обнаружить с помощью специализированных утилит. Именно этой причиной обусловлен отмеченный в последнее время рост интереса к rootkit-технологиям режима ядра, несмотря на более высокую сложность их разработки.

Рассмотрим методы, используемые rootkit режима ядра, которые обладают несравнимо более высоким качеством сокрытия информации. Подавляющее большинство rootkit режима ядра используют недокументированные структуры операционной системы. Например, широко используется перехват обработчиков из таблицы KeServiceDescriptorTable, количество сервисов в которой может изменяться от версии к версии операционной системы, что заставляет разработчиков rootkit прибегать к проведению дополнительного анализа системного кода для определения указателей на обработчики в вышеупомянутой таблице. По принципу реализации данный подход очень напоминает перехват API-функций.

Примером использования метода модификации системных структур является изменение системного списка PsActiveProcessList. Этот подход использует rootkit FU, что позволяет скрыть любой процесс от просмотра его большинством системных утилит, показано на рисунке 3 и 4.



Рис. 3. Список процессов до запуска rootkit

Рис. 4. Список процессов после запуска rootkit

Из рисунка 3 видно, что запущенный текстовый редактор Notepad виден в списке активных процессов под именем notepad.exe (имя обведено красной линией). Снимок экрана, приведенный на рисунке 4, сделан после запуска Rootkit FU с командой сокрытия процесса. Из рисунка видно, что при активном редакторе, его имя пропало из списка активных процессов (отмечено красной стрелкой).

1.1.2 Rootkit-технологии для UNIX

Сокрытие присутствия в системе.

Ситуация в UNIX очень напоминает ситуацию в мире Windows. Атакующий устанавливает rootkit на компьютер после того, как был получен привилегированный доступ -- root. Права root, необходимые для инсталляции подавляющего большинства rootkit, можно получить с помощью использования известных уязвимостей, если злоумышленник имеет доступ в систему с правами обычного пользователя. В этом случае он может использовать локальный эксплойт или утилиты для взлома базы с паролями. Если злоумышленник не имеет соответствующих прав, то для проникновения в систему он может использовать удаленный эксплойт или, например, сниффер для перехвата паролей. Подобный перехват паролей возможен для целого ряда служб (ftp, telnet и др.) по причине того, что они осуществляют передачу паролей по сети в открытом виде.

В зависимости от предоставляемых возможностей rootkit может содержать различные вредоносные программы (Trojan-DDoS, Backdoor и прочие), которые устанавливаются на взломанный компьютер и ожидают команд от атакующего. Кроме того, rootkit могут содержать заплатки, которые закрывают уязвимости в защите системы с целью предотвращения повторного проникновения со стороны другого атакующего.

Также как и в Windows, в UNIX имеются и rootkit уровня приложений, и rootkit уровня ядра.

Рассмотрим уровень приложений. Как правило, подобные rootkit состоят из «троянизированных» версий обычных программ, скрывающих присутствие своих компонент в системе, и бэкдора, предоставляющего скрытый доступ в систему. Примерами rootkit уровня приложений являются lkr, trOn, ark и др.

Продемонстрируем работу rootkit уровня приложений на примере tr0n. Для сокрытия своего присутствия в системе данный rootkit выполняет целый ряд действий: в момент инсталляции он останавливает syslogd-демон, затем подменяет своими троянскими версиями следующие системные утилиты du, find, ifconfig, login, ls, netstat, ps, top, sz. Кроме того, в систему добавляется троянская версия sshd-демона. В завершение, в фоновом режиме запускается sniffer, в inetd.conf добавляется запуск telnetd-, rsh-, finger-демонов, перезапускается inetd и снова стартует syslogd.

Обычно tr0n располагается в /usr/src/.puta, но благодаря установленной ранее троянской версии утилиты ls, этот каталог невидим.

Перейдем к rootkit уровня ядра. Rootkit этого типа предоставляют все возможности предыдущего типа, но на более низком уровне -- rootkit уровня приложений должны модифицировать отдельные бинарные файлы, rootkit уровня ядра должны изменить только ядро, что значительно увеличивает «качество» сокрытия информации.

Существует несколько способов внедрения rootkit в ядро системы UNIX:

1.Использование LKM. Ядро linux, как и ядра многих других ОС, способны загружать модули (или драйверы устройств) «на лету», что позволяет злоумышленнику изменить системные вызовы ядра и тем самым выдавать некорректную информацию (например, исправленный список файлов). Использование подобного приема можно предотвратить, если скомпилировать монолитное ядро без поддержки LKM, но такое решение имеет существенный недостаток -- необходимость включения в ядро всех нужных драйверов.

2.Запись в /dev/kmem, который предоставляет доступ к занятой ядром области памяти. Запись в /dev/kmem переписывает ядро «на лету». Таким образом, для изменения ядра необходимо лишь найти нужное место в памяти, но это решаемая проблема. Существует исправление, запрещающее записывать в /dev/kmem напрямую. Также это можно сделать через mmap.

3.Заражение существующих модулей. Отличие от первого способа заключается в том, что rootkit не содержит своего отдельного модуля и использует внедрение в уже существующие. Применение данного подхода позволяет сделать rootkit устойчивым к перезагрузке, поскольку чаще всего заражаются модули, которые будут загружены ОС в любом случае (например, драйвер файловой системы).

1.2 Другие виды скрытия своего присутствия в сети

Программы, авторизующиеся в Online.

В последнее время все чаще стали появляться программы, которые проверяют через Интернет, зарегистрирована ли данная копия программы.

Вернее, когда пользователь работает в Интернет, они незаметно это проверяют, а потом радуют сообщением о том что используемая копия нелегальна. Наглядный тому пример - Bullet Proof FTP. Но это еще не все. Существует мнение, что такие программы, как, например, операционная система Windows, способны как бы следить за всем, что происходит в компьютере (либо сами, либо по команде из Интернет), и отправлять все собранные данные своим разработчикам.

Клавиатурные шпионы.

Клавиатурные шпионы - это программы, запоминающие, какие клавиши были нажаты в ваше отсутствие, то есть - что творилось на вашем компьютере, пока вас не было в офисе. Для этого все, что набирается на клавиатуре, заносится специальной программой в текстовый файл. Так что набранный на компьютере в бизнес-центре или интернет-кафе текст может без особых проблем стать достоянием владельца такого компьютера. Технически эта операция выполняется классом программ, называемых keyboard loggers. Они разработаны для разных операционных систем, могут автоматически загружаться при включении компьютера

Самая лучшая из опробованных программ, Hook Dump 2.5, может автоматически загружаться при включении компьютера, при этом никак не проявляя своего присутствия. Набранный на клавиатуре текст, названия программ, в которых набирался текст, и даже скрытый пароль в Dial-Up Networking, который вообще не набирался - все записывается в файл, расположенный в любой директории и под любым именем. Программа имеет много настроек, позволяющих определять нужную конфигурацию.

2.Методы борьбы с несанкционированным доступом в сеть

Защита информации в процессе ее сбора, хранения и обработки принимает исключительно важное значение. Под защитой информации принято принимать совокупность мероприятий, методов и средств, обеспечивающих решение следующих задач:

1. Проверка целостности информации.

2. Исключение несанкционированного доступа к защищаемым программам и данным.

3. Исключение несанкционированного использования хранящихся в ПЭВМ программ.

4. Хищение носителей информации (дискет; лазерных, магнитных и магнитооптических дисков и т. д.).

5. Чтение информации с экрана посторонним лицом (во время отображения информации на экране законным пользователем или при отсутствии законного пользователя на рабочем месте).

6. Чтение информации из оставленных без присмотра распечаток программ.

Простота механизма защиты. Этот принцип общеизвестен но не всегда глубоко осознается. Действительно, некоторые ошибки, не выявленные в ходе проектирования и эксплуатации, позволяют обнаружить неучтенные пути доступа. Необходимо тщательное тестирование программного или аппаратного средства защиты, однако на практике такая проверка возможна только для простых и компактных схем. Механизм защиты можно не засекречивать, т. е. не имеет смысла засекречивать детали реализации систем защиты, предназначенной для широкого пользования

2.1 Борьба с программой Rootkit

Антируткиты - это утилиты или резидентные модули, обнаруживающие в системе присутствие руткитов и удаляющие их. Существует множество конкурирующих средств для этого - как платных, так и бесплатных, но все они используют сходные принципы действия.

Многие антивирусы просто «не видят» rootkit. Некоторые из них устанавливают системный драйвер и, работая в режиме мониторинга, имеют возможность обнаружить активность rootkit уровня пользователя. Однако ситуация усложняется тем обстоятельством, что большинство rootkits доступно в исходных кодах и можно легко создать собственную модификацию rootkit, которая не будет обнаруживаться антивирусами. С персональными межсетевыми экранами и системами обнаружения атак уровня узла ситуация не лучше. Например, персональный межсетевой экран Agnitum Outpost версии 2.1 вообще не замечал присутствия rootkit на машине и соответствующей сетевой активности. Outpost версии 2.5 перехватывает «небезопасные» вызовы API, и в ответ на запуск Hacker Defender начал бурно прекращать сетевую активность «модифицированных» приложений. Однако, после того как обнаружил что «посчитали» и его, крепко обиделся и завис (по крайней мере, GUI). После перезагрузки Outpost уже не вспоминал об этом досадном инциденте, решив оставить Rootkit в покое и не обращать внимания на его сетевую активность (если конечно, она проходит через разрешенные сетевые приложения). Зачастую rootkit только маскирует действия троянской программы, соответственно для его обнаружения достаточно просканировать машину с помощью nmap. Если на машине существуют лишние открытые порты - значит дело нечисто. Существует ряд специализированных утилит, обнаруживающих rootkit. Например, сетевой сканер rkdscan обнаруживает троянский компонент Hacker Defender, работающий через открытый другим приложением порт. Для этого используются уязвимость уровня проектирования, которая на языке специалистов по безопасности звучит как «слабая аутентификация клиента». Утилита RKDetect использует аномальный подход для обнаружения системных служб, скрытых rootkits уровня пользователя. Для этого с удаленной машины запрашивается список системных служб через WMI, а затем службы перечисляются с помощью Service Manager (SC). Эти списки различаются, поскольку WMI работает на уровне пользователя и подвержен влиянию rootkit, а SC - нет. После сравнения списков утилита выводит дополнительную информацию о «подозрительной» службе. Подобный модуль в ближайшее время будет встроен в сканер безопасности XSpider.Как и в деле создания rootkits, так и в деле борьбы с ними есть свои лидеры. Признанной руткитоборкой первой степени является Joanna Rutkowska. Её перу принадлежат такие утилиты как Patchfinder и Klister. Первая из них направлена на обнаружения rootkit, модифицирующих пути исполнения, в кто время как Klister помогает обнаруживать DKOM KLT. Утилита Patchfinder использует оригинальную идею измерения количества инструкций процессора необходимых для выполнения тех или иных операций в нормальном режиме и сравнения этих результатов с текущими показателями системы. Для определения количества инструкций процессор переводится в пошаговый режим (single stepping mode), в котором при выполнении каждой инструкции вызывается отладочная исключительная ситуация. Количество таких вызовов подсчитывается и сохраняется. В случае если в системе установлен rootkit, количество инструкций процессора, затрачиваемое на выполнение той или иной функции API увеличится. Разница обуславливается тем, что дополнительно будет обрабатываться код, дописанный rootkit в функцию. Утилита Klister, направлена на обнаружение DKOM KLT и позволяет получать список всех процессов в системе, используя прямой доступ к памяти ядра.Ещё один интересный и развивающийся проект, это RKDetector, не путать с RKDetect. В ближайшее время автор планирует встроить в него собственный драйвер файловой системы для обнаружения «спрятанных» файлов.

Для обнаружения различных rootkits, использующих метод модификации пути исполнения можно воспользоваться утилитой VICE. Перед её использованием настоятельно рекомендуется ознакомиться с документацией, что бы не запутаться в «ложных срабатываниях».

Методики обнаружения RootKit в системе.

Рассмотрим базовые методики поиска RootKit:

1.Сравнение двух «снимков» системы (например, списка файлов на диске). Первый снимок делается на проверяемой системе, второй - после загрузки с CD или подключения исследуемого HDD к заведомо чистому компьютеру. Подобная методика гарантированно позволит обнаружить любой RootKit, который маскирует на диске свои файлы.

2.Сравнение данных, возвращаемых API функциями разного уровня и (или) получаемых низкоуровневыми методами (например, прямым чтением диска и анализом файлов реестра). Данная методика не требует перезагрузки исследуемого ПК и реализована в бесплатной утилите RootkitRevealer от SysInternals (http://www.sysinternals.com). Другим примером может случить утилита KLister (www.rootkit.com) для построения списка запущенных процессов, которая состоит из драйвера и консольной программы, использующей этот драйвер;

3.Анализ в памяти функций основных библиотек на предмет наличия изменений их машинного кода. Данный метод наиболее эффективен для борьбы с RootKit в пользовательском режиме. Подобная методика позволяет не только обнаружить перехват функций, но и восстановить нормальную работу поврежденных функций. Кроме того, сравнение «снимков» системы, полученных до и после восстановления функций API во многих случаях позволяет обнаружить маскирующиеся процессы, сервисы и драйверы. Данная методика не требует перезагрузки и один из вариантов реализован в моей утилите AVZ;

4.Анализ и восстановление ServiceDescriptorTable. Данная методика позволяет бороться с рядом перехватчиков, работающих в режиме ядра (собственно, с перехватчиками, основанными на правке SDT). Практическая реализация - утилита SDTRestore (http://www.security.org.sg/code/sdtrestore.html). Однако восстановление SDT окажет воздействие на работу всей системы и может привести к очень неприятным последствиям (в простейшем случае - полное зависание системы с выходом на BSoD, в худшем - непредсказуемое нарушение нормальной работы приложений, перехватывающих NativeAPI для реализации своих функций).

Антируткиты:

Свободные:

1. Hypersight Rootkit Detector Единственный антируткит, который определяет руткиты, работающие в режиме hypervisor.

2. Dr.Web CureIt! - Антируткит и не только.

3. GMER - один из самых лучших анти-руткитов. Обнаруживает в AD-Streams.

4. Grisoft AVG Antirootkit - один из самых лучших анти-руткитов.

5. RootKit Unhooker - один из самых лучших анти-руткитов. Но с частыми зависаниями.

6. AVZ -- не специализированное средство, но антируткит -- один из компонентов.

7. Catchme.

8. DarkSpy Anti-Rootkit.

9. Helios.

10. IceSword.

11. OSAM -- не специализированное средство, но антируткит -- один из компонентов.

12. RKDetector

13. RootKit Hook Analyzer.

14. Rootkit Revealer.

Коммерческие:

1. Avira Antivir Rootkit.

2. BitDefender Antirootkit.

3. F-Secure BackLite.

4. McAfee Rootkit Detective.

5. Panda AntiRootkit.

6. Sophos Anti-Rootkit.

7. Trend Micro RootkitBuster.

8. Kaspersky: AntiVirus и Internet Security - комплексные защиты, включающие в себя антируткиты.

2.2 Методы защиты своей информации от несанкционированного доступа

Метод защиты при помощи программных паролей.

Согласно этому методу, реализуемому программными средствами, процедура общения пользователя с ПК построена так, что запрещается доступ к операционной системе ПК до тех пор, пока не будет введен пароль. Пароль держится пользователем в тайне и периодически меняется, чтобы предотвратить несанкционированное его использование. Метод паролей является самым простым и дешевым, однако не обеспечивает надежной защиты. Используя метод проб и ошибок, с помощью той же ЭВМ становится возможным за небольшое время раскрыть действующий пароль и получить доступ к данным. Более того, основная уязвимость метода паролей заключается в том, что пользователи зачастую выбирают очень простые и легкие для запоминания (и тем самым для разгадывания) пароли, которые не меняются длительное время, а нередко остаются прежними и при смене пользователя. Несмотря на указанные недостатки, применение метода паролей во многих случаях следует считать рациональным даже при наличии других аппаратных и программных методов защиты.

Обычно метод программных паролей сочетается с другими программными методами, определяющими ограничения по видам и объектам доступа. Логически подобную систему можно представить в виде матрицы управления доступом, которая определяет виды доступа, предусмотренные для различных пользователей и данных. Как правило, эта матрица содержит лишь небольшое количество реальных элементов, так что общий принцип защиты реализуется в виде списков управления доступом, связанных с каждым защищенным блоком данных или отдельными данными. Каждый такой список включает имена всех объектов данных и групп пользователей, которым предоставляется право доступа к данному объекту. Слежение за правильностью организации этого процесса должна осуществлять операционная система. Список для управления обычно включает также все виды разрешенных операций доступа: чтение, запись или выполнение программы.

Операционная система для каждого зарегистрированного пользователя хранит его краткие данные, включающие пароль пользователя (как правило, зашифрованный), идентификатор группы пользователя и соответствующий набор прав пользователя по отношению к данным.Например, операционная система Unix позволяет владельцу файлов предоставлять права другим пользователям только читать или записывать (модифицировать) для каждого из своих файлов. В случае, когда файлом является программа, которую нужно выполнить, то операционная система Unix предоставляет владельцу файла возможность определить пользователя, которому разрешается выполнение данной программы.

Программные методы защиты данных на уровне операционной среды в настоящее время получили аппаратную поддержку и на микропроцессорном уровне. Примером подобных встроенных аппаратных средств на уровне кристалла являются все микропроцессоры фирмы Intel, следующие за 16-разрядным 80286 (включая его самого). Предусмотренные в нем возможности распознавания и манипуляций с объектами, например с задачами, а так же прямая аппаратная поддержка управления памятью позволяет сформировать надежное ядро защиты данных. Микропроцессор 80286 реализует защиту на различных уровнях. Отдельное пространство виртуальных адресов, выделяемое к каждой задаче, позволяет получить доступ только к тем сегментам, которые находятся в пределах предусмотренной области обращений. Даже в пределах своего собственного адресного пространства задача не должна отступать от жесткого разделения сегментов по видам доступа для чтения и записи, установленного центральным процессором.

Предусматриваются также конкретные проверки разрешенности при каждом обращении к сегменту памяти. В отличие от младших моделей микропроцессорного ряда фирмы Intel микропроцессор 20286 имеет четыре уровня защиты, что позволяет в зависимости от конкретных требований обеспечивать защиту системных и прикладных программ с различной степенью детализации.

Метод автоматического обратного вызова.

Может обеспечивать более надежную защиту системы от несанкционированного доступа, чем простые программные пароли. В данном случае пользователю нет необходимости запоминать пароли и следить за соблюдением их секретности. Идея системы с обратным вызовом достаточно проста. Удаленные от центральной базы пользователи не могут непосредственно с ней обращаться, а вначале получают доступ к специальной программе, которой они сообщают соответствующие идентификационные коды.

После этого разрывается связь и производится проверка идентификационных кодов. В случае, если код, посланный по каналу связи, правильный, то производится обратный вызов пользователя с одновременной фиксацией даты, времени и номера телефона. К недостатку рассматриваемого метода следует отнести низкую скорость обмена -среднее время задержки может исчисляться десятками секунд.

Метод шифрования данных.

Один из наиболее эффективных методов защиты. Он может быть особенно полезен для усложнения процедуры несанкционированного доступа, даже если обычные средства защиты удалось обойти. Для этого источник информации кодирует ее при помощи некоторого алгоритма шифрования и ключа шифрования. Получаемые зашифрованные выходные данные не может понять никто, кроме владельца ключа. Например, алгоритм шифрования может предусмотреть замену каждой буквы алфавита числом, а ключом при этом может служить порядок номеров букв этого алфавита.

Особенно высокой надежностью обладает механизм защиты по методу шифрования данных с аппаратной поддержкой. Разработчиками фирмы Intel создано программируемое ПЗУ с доступом по ключу на базе БИС 27916. При использовании двух подобных ПЗУ с доступом по ключу, один из которых устанавливается в ПЭВМ пользователя (терминальной), а другой в ЭВМ с коллективной базой данных, для доступа не нужно никаких паролей. ПЗУ выполняет функцию "замка" и "ключа", предотвращая доступ к базе данных со стороны любой удаленной ПЭВМ, не содержащей одного из упомянутых ПЗУ с ключом, совпадающим с соответствующим ключом ПЭВМ базы данных. При попытке обращения со стороны терминальной ПЭВМ к ЭВМ с центральной базы данных оба ПЗУ проверяют, совпадают ли "замок" и "ключ", и если совпадают, то доступ к базе данных разрешается. Параметры ключа никогда не передаются по линии связи, поэтому ключ определить невозможно, даже если несанкционированно подключиться к линии связи.

Алгоритм взаимодействия терминальной ПК с ЭВМ базы данных распадается на два последовательных этапа. Первый этап взаимодействия инициирует терминальная ПЭВМ, а второй - ЭВМ базы данных. Благодаря этому практически исключается несанкционированный доступ к системе, для которой в данном случае, чтобы получить несанкционированный доступ, необходимо провести соответствующие модификации с обеих сторон.

На первом этапе терминальная ПК генерирует случайное число и посылает его по линии связи в ЭВМ базы данных.Обе машины обрабатывают это число по алгоритму шифрования с использованием собственных ключей. Затем ЭВМ базы данных возвращает свой зашифрованный результат по линии связи к терминальной ПК, которая сравнивает принятый результат с собственным зашифрованным результатом. Если они совпадают, то на втором этапе происходит аналогичный обмен, только инициатором теперь выступает ЭВМ базы данных.

Первый этап реализации механизма защиты на основе ПЗУ с доступом по ключу типа 27916 состоит в программировании кода, необходимого для выполнения процедур проверки прав доступа. В процессе программирования БИС 27916 производится также программирование 64-раз-рядного ключа и данных, определяющих функции доступа по ключу. В конце программируется бит замка, обеспечивающий недоступность матрицы памяти для чтения до тех пор, пока не произойдет взаимодействие с ПЗУ ЭВМ базы данных. Одновременно программируется и номер ключа, являющегося адресом одного ключа (из 1024 возможных), который необходимо использовать при выполнении взаимодействия в процессе проверки прав на доступ. Выбор 64-разрядной длины ключа означает, что имеется приблизительно 18*10 возможных уникальных значений ключа. Если даже с помощью компьютера, например другой ПК, попытаться методом проб и ошибок определить значение ключа с темпом 0.08 с (максимальный темп повторных проверок права доступа, допустимый для данного ЭППЗУ), потребуется 46 млрд. лет, чтобы испробовать каждое значение. В ЭППЗУ с доступом по ключу пользователю предоставляется возможность выбрать один из кодов задержки, задающих ритм взаимодействия ПК для определения права на доступ (от 0.08 до 15 с).

Качество работы генератора случайных чисел является одним из факторов, обеспечивающих надежную защиту системы. Идеальным генератором считается в данном случае тот, который практически не выдает одинаковых чисел. Включенный в состав БИС 27916 генератор случайных чисел обеспечивает почти для 1 млрд. отсчетов только 0.03% чисел, появляющихся несколько раз.

Рассмотренный метод шифрования с защитой доступа по ключу обеспечивает высокую оперативность, простоту для пользователя и информационную надежность по сравнению с ранее описанными методами.

Защита от компьютерных вирусов.

По мере развития и усложнения компьютерных систем возрастает объем и повышается уязвимость хранящихся в них данных.Одним из новых факторов, резко повысивших эту уязвимость, является массовое производство программно-совместимых персональных компьютеров, которое можно назвать одной из причин появления нового класса программ-вандалов - компьютерных вирусов. Наибольшая опасность, возникающая в связи с возможностью заражения программного обеспечения компьютерными вирусами, состоит в искажении или уничтожении жизненно важной информации, которое может привести не только к финансовым потерям, но даже повлечь за собой человеческие жертвы.

Заключение

Наше время, это эпоха интернета и компьютерных технологий, поэтому очень важно уметь правильно защитить свою информацию или если нужно сделать так, чтобы при необходимости остаться незаметным в сети опытный пользователь мог сделать это быстро и без каких либо недочетов. В результате работы был показан наиболее легкий и рациональный способ присутствия в сети незаметно, это Rootkit. Сам Rootkit не является самостоятельной программой, а представляет собой набор неких средств для скрытия программ на компьютере которые могут видоизменять, копировать, удалять информацию и делать это незаметно. Программы в свою очередь уже находятся на атакуемом компьютере, заносятся они туда также с помощью Rootkit, тоже незаметно. Также были рассмотрены виды борьбы с Rootkit. Это так называемые антируткиты, ими являются либо отдельные программы или это компоненты какого либо антивируса. Также в контрольной работе были рассмотрены и другие виды скрытия себя в сети. Были рассмотрены способы защиты своей информации от несанкционированного доступа к ней. Это способы такие как:

1.Метод защиты при помощи программных паролей.

2.Метод автоматического обратного вызова.

3.Метод шифрования данных.

Список литературы

1.Ведеев Д.В. «Защита данных в компьютерных сетях».

2.Беляев В.С. «Безопасность в распределительных системах».

3.в.п. Цымбал «Теория информации и кодирование».

Интернет ресурсы:

www.cybersecurity.ru

www.osp.ru

www.chip.ru

www.xakep.ru