- •1. Доступ к данным. Этапы идентификации и аутентификации, реализуемые ос Windows. Разграничение доступа к устройствам.
- •2. Идентификация и аутентификация субъекта "процесс" при запросах на доступ. Замкнутая программная среда. Вопросы корректности идентификации пользователя.
- •4. Электронные увип. Приборы на базе iButton. Смарт-карты.
- •5. Биометрическая идентификация пользователей. Идентификация по манере работы по клавиатуре. Идентификация по голосу. Распознавание пользователей по лицу.
- •6. Идентификация по отпечатку пальцев
- •7. Технологии аутентификации. Аутентификации по многоразовым паролям.
- •8. Технологии аутентификации. Аутентификация на основе одноразовых паролей.
- •9. Технологии аутентификации. Аутентификация по предъявлению цифрового сертификата. Использование смарт-карт и usb-ключей.
- •10. Принципы организации контроллера зи.
- •11. Принципы организации контролера зи.
- •12. Характеристики сзи.
- •13. Аппаратные системы разграничения доступа. Использование архитектур, отличных от фоннеймановской.
- •14. Аппаратные системы разграничения доступа. Системы перлюстрации запросов на обращение к данным. Защита от считывания со сменных носителей.
- •15. Программно-аппаратные криптосистемы. Алгоритмы шифрования.
- •16. Общие сведения об аппаратных криптосистемах. Механизмы аппаратной шифрации. Криптографический контроль целостности.
- •18. Варианты реализации криптосистем. Сравнение аппаратных и прогаммных шифраторов.
- •19. Виды защиты от несанкционированного копирования программ. Программно-аппаратная защита от копирования программ.
- •20. Защита программ от изучения. Цели, методы, средства изучения программ.
- •21. Защита программ от дизассемблирования.
- •22. Борьба с трассировкой программы пошаговыми отладчиками.
- •23. Ошибки в созданных и предлагаемых защитах от копирования.
- •24. Виды деструктивных программ. Компьютерные вирусы и их классификация.
- •25. Шпионские программы. Общая характеристика.
- •26. Программные кейлогеры.
- •27. Варианты реализации программных кейлогеров
- •28. Аппаратные кейлогеры.
- •29. Методы противодействия программам-шпионам и аппаратным кейлогерам.
24. Виды деструктивных программ. Компьютерные вирусы и их классификация.
Виды деструктивных программ Одним из основных источников угроз безопасности информации в КС является использование специальных программ, получивших общее название "вредительские программы". В зависимости от механизма действия вредительские программы делятся на четыре класса: "логические бомбы"; "черви"; "троянские кони"; "компьютерные вирусы". программы-шпионы «Логические бомбы» – программы или их части, постоянно находящиеся в ЭВМ или вычислительных системах (ВС) и выполняемые только при соблюдении определенных условий. Примерами таких условий могут быть: наступление заданной даты, переход КС в определенный режим работы, наступление некоторых событий установленное число раз и т.п. «Червями» называются программы, которые выполняются каждый раз при загрузке системы, обладают способностью перемещаться в ВС или сети и самовоспроизводить копии. Лавинообразное размножение программ приводит к перегрузке каналов связи, памяти и, в конечном итоге, к блокировке системы. «Троянские кони» - это программы, полученные путем явного изменения или добавления команд в пользовательские программы. При последующем выполнении пользовательских программ наряду с заданными функциями выполняются несанкционированные, измененные или какие-то новые функции. Компьютерные вирусы - это небольшие программы, которые после внедрения в ЭВМ самостоятельно распространяются путем создания своих копий, а при выполнении определенных условий оказывают негативное воздействие на КС. Программы-шпионы - программы, предназначенные для слежения за деятельностью пользователя и несанкционированного чтения обрабатываемой им информации. Программы показа рекламы – отдельные или дополняющие программы, которые втайне собирают через Интернет информацию о пользователе и отправляют ее на другой компьютер. Такие программы могут отслеживать привычки пользователя при работе в сети Интернет в целях последующей рекламы. Кроме того, они используются для рассылки рекламы. К этому классу можно отнести и следящие программы – автономные или добавленные приложения, отслеживающие действия пользователя в сети Интернет и отправляющие эту информацию в целевую систему. Затем они собирают конфиденциальную информацию о поведении пользователя.
Пользователи могут по незнанию загрузить шпионские и рекламные программы с веб-узлов (обычно в виде бесплатных или условно бесплатных программ), в составе сообщений электронной почты и мгновенных сообщений. Часто пользователи по незнанию загружают рекламные программы, принимая лицензионные соглашения для других программ. Программы набора номера – программы, которые без разрешения пользователя устанавливают через Интернет телефонные соединения с номерами серий 900- или узлами FTP, обычно для сбора денег. Программы-шутки – программы, которые изменяют или прерывают работу компьютера способом, который их создатель счел смешным или, наоборот, пугающим. Например, такие программы можно загрузить с веб-узлов (обычно в виде бесплатных или условно бесплатных программ), в составе сообщений электронной почты и мгновенных сообщений. После этого, например, мусорная корзина может начать «убегать» от пользователя или действие кнопок мыши поменяется на противоположное. Программы удаленного доступа – программы, которые позволяют получить доступ к компьютеру извне по сети Интернет для сбора информации, атаки на компьютер пользователя или внесения в него изменений. Например, такая программа может быть установлена пользователем, либо автоматически установлена в скрытой форме другим процессом. Программа может применяться с вредоносными целями с изменением или без изменения исходной программы удаленного доступа. Средства взлома – программы, применяемые хакерами для получения несанкционированного доступа к компьютеру пользователя. Например, одним из средств взлома является программа отслеживания нажатий клавиш, которая регистрирует отдельные нажатия клавиш и отправляет эту информацию хакеру. Хакер может выполнить сканирование портов или потенциальных точек уязвимости. Кроме того, с помощью средств взлома можно создавать вирусы. Угрозы для безопасности – угрозы, которые не соответствуют в точности определению вируса, троянского коня, червя и других категорий угроз, но могут представлять угрозы для компьютера и хранящихся на нем данных. Поскольку вирусам присущи свойства всех классов вредительских программ, то в последнее время любые вредительские программы часто называют вирусами.
системами.
Классификация компьютерных вирусов Вирусы можно разделить на классы по следующим основным признакам: среда обитания; операционная система (OC); особенности алгоритма работы; деструктивные возможности. По среде обитания вирусы можно разделить на: файловые; загрузочные; макро; сетевые. Файловые вирусы либо различными способами внедряются в выполняемые файлы (наиболее распространенный тип вирусов), либо создают файлы-двойники (компаньон-вирусы), либо используют особенности организации файловой системы (link-вирусы). Программные вирусы внедряются в исполняемые файлы, такие как .com, .exe и .dll, вставляя свои инструкции в выполняемую последовательность При запуске зараженного файла вставленные инструкции вызывают выполнение кода вируса. По окончании выполнения кода продолжается нормальное выполнение последовательности инструкций файла. Это происходит настолько быстро, что пользователь не замечает работы вируса. Существует три подкласса файловых вирусов. • Резидентные: остаются в памяти подобно резидентным программам (TSR) и обычно заражают все исполняемые файлы • Прямого действия: Просто выполняются, заражая другие файлы, и выгружаются из памяти. • Компаньоны: Создают двойники исполняемых файлов, не изменяя их. Например, вирус может создать файл-компаньон Word.com для файла Word.exe. При запуске программы Word выполняется зараженный файл Word.com, который производит определенные действия, а затем запускает файл Word.exe. Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный boot-сектор. Загрузочные вирусы распространяются наиболее успешно. Они просты в написании и перехватывают управление компьютером на низком уровне. Загрузочные вирусы могут повреждать главную загрузочную запись путем ее перемещения, перезаписи или удаления. Например, вирус Monkey перемещает главную загрузочную запись в третий сектор жесткого диска, а затем помещает в первый сектор свой собственный код. Перемещение главной загрузочной записи делает загрузку с жесткого диска невозможной. Для поиска, считывания, загрузки и удаления файлов жесткий диск должен отслеживать, в каких секторах располагаются определенные порции данных. Данная информация содержится в таблицах разделов. Каждый раздел жесткого диска имеет собственную таблицу разделов. Вирусы могут поместить в таблицы разделов неверную информацию, что может сделать невозможной загрузку операционной системы. Если компьютер загружается с зараженного гибкого диска, вирус инфицирует жесткий диск и загружает свой код в память. Для распространения вируса не требуется, чтобы диск являлся загрузочным. Вирус остается в памяти и заражает все гибкие диски при обращении к ним. Обычно инициатором проявления действия загрузочных вирусов являются значения системной даты или времени. Например, вирус Michelangelo является загрузочным вирусом, который удаляет содержимое жесткого диска зараженного компьютера 6 марта (день рождения Микеланджело). Повреждения, причиняемые макровирусами, разнятся от вставки нежелательного текста в документы до значительного снижения производительности компьютера. Например, макрос Format.C отформатирует жесткий диск компьютера. Макровирусы, инфицирующие программу Word, обычно поражают макросы шаблона Normal.dot. Этот шаблон является общим, поэтому будут заражены все файлы документов Word. Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты. Существует большое количество сочетаний – например, файлово–загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему, используют стелс и полиморфик–технологии. Другой пример такого сочетания – сетевой макро–вирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте. Заражаемая ОС (вернее, ОС, объекты которой подвержены заражению) является вторым уровнем деления вирусов на классы. Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких ОС, Windows, OS/2 и т.д. Макро-вирусы заражают файлы форматов Word, Excel, Office. Загрузочные вирусы также ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков. Среди особенностей алгоритма работы вирусов выделяются следующие пункты: резидентность; использование стелс-алгоритмов; самошифрование и полиморфичность; использование нестандартных приемов. Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки ОС. Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными. Резидентными можно считать макро-вирусы, поскольку они постоянно присутствуют в памяти компьютера на все время работы зараженного редактора. При этом роль операционной системы берет на себя редактор, а понятие "перезагрузка ОС" трактуется как выход из редактора. В некоторых операционных системах ограничивается моментом инсталляции дисковых драйверов OC. Использование стелс-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс–алгоритмом является перехват запросов OC на чтение/запись зараженных объектов. Стелс–вирусы при этом либо временно лечат их, либо "подставляют" вместо себя незараженные участки информации. В случае макро–вирусов наиболее популярный способ – запрет вызовов меню просмотра макросов. Самошифрование и полиморфичность используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования вируса. Полиморфик–вирусы (polymorphic) - это достаточно труднообнаруживаемые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик–вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика. Различные нестандартные приемы часто используются в вирусах для того, чтобы как можно глубже спрятать себя в ядре OC, защитить от обнаружения свою резидентную копию, затруднить лечение от вируса (например, поместив свою копию в Flash-BIOS) и т.д. По деструктивным возможностям вирусы можно разделить на: • безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения); • неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами, снижением производительности компьютера; • опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера; • очень опасные, в алгоритм работы которых заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, и способствовать быстрому износу движущихся частей механизмов – вводить в резонанс и разрушать головки некоторых типов винчестеров (непроверенно?), а так же воздействовать на пользователя (эффект 25–го кадра). Но даже если в алгоритме вируса не найдено ветвей, наносящих ущерб системе, этот вирус нельзя с полной уверенностью назвать безвредным, так как проникновение его в компьютер может вызвать непредсказуемые и порой катастрофические последствия. Ведь вирус, как и всякая программа, имеет ошибки, в результате которых могут быть испорчены как файлы, так и сектора дисков. До сих пор попадаются вирусы, определяющие "COM или EXE" не по внутреннему формату файла, а по его расширению. Естественно, что при несовпадении формата и расширения имени файл после заражения оказывается неработоспособным. Возможно также "заклинивание" резидентного вируса и системы при использовании новых версий Windows или с другими мощными программными