2.3.3. Механизмы вирусной атаки

Все вирусы различаются способом размещения, методом распространения в вычислительной среде, способом активизации, характером наносимого ущерба [5, 7, 8, 28, 30, 64 и др.].

Компьютерный вирус может находиться в операционной среде, где он сцепляется с программами, расположенными в системной части накопителя на гибком или жестком магнитном диске. Его внутренние поля могут располагаться в структуре файлов типа EXE – в области между таблицей адресов и загрузочным модулем программы или в свободной памяти файла за программой, в библиотеках компиляторов (наиболее эффективный вариант размещения вируса, поскольку он при этом может автоматически внедряться в любую программу, составляемую компилятором), в сетевом драйвере, в “плохих” или специальных секторах на диске, в постоянном запоминающем устройстве (ПЗУ) в качестве программно-технической закладки.

Компьютерный вирус может распространяться транзитно или резидентно. В первом случае, находясь в оперативном запоминающем устройстве (ОЗУ) компьютера, вирус дописывает себя в другие программы, хранимые на диске. Во втором случае вирус, введенный в память ЭВМ (в часть, где находятся программы ОС), при обращениях к ОС “заражает” программы (диски), вызываемые на выполнение.

Активизироваться вирус может с момента внедрения в средства вычислительной техники, по наступлении определенного события (дата, заданное число обращений к зараженной программе) и случайно (по показанию датчика случайных чисел, содержащегося в вирусе).

Среди вирусов есть такие, которые не создают серьезных помех работе средств вычислительной техники, вызывают нарушения, поддающиеся исправлению, и производят необратимые изменения и разрушения. Наибольшую опасность представляют вирусы, имеющие деструктивную функцию. Эти вирусы наносят следующие виды ущерба вычислительным средствам: 1) изменение данных в файлах, изменение назначенного магнитного диска, в результате чего данные записываются на другой диск. Например, данные могут быть направлены на квазидиск в ОС и потеряны после выключения ЭВМ; 2) уничтожение специальных файлов, содержащих выполняемые программы и данные; 3) уничтожение информации форматированием диска или отдельных треков на нем; 4) уничтожение каталога диска; 5) уничтожение (выключение) программ, постоянно находящихся в ОС; 6) нарушение работоспособности ОС, при которой она не воспринимает внешних воздействий и требует полной загрузки.

57. Протоколы

58. Протокол ррр рар

PPP (Point-to-Point Protocol) РАР (Password Authentication Protocol) не является сильным аутентификационным методом. РАР аутентифицирует только вызывающего оператора, а пароли пересылаются по каналу, который считается уже "защищенным". Таким образом, этот метод не дает защиты от использования чужих паролей и неоднократных попыток подбора пароля. Частота и количество неудачных попыток входа в сеть контролируются на уровне вызывающего оператора.

59. Протокол ррр chap

CHAP (Challenge Handshake Authentication Protocol) используется для периодической аутентификации центрального компьютера или конечного пользователя с помощью согласования по трем параметрам. Аутентификация происходит в момент установления связи, но может повторяться и после ее установления. На рисунке 1 показан процесс аутентификации CHAP. Маршрутизатор и сервер доступа используют общий секретный ключ "trustme".

Рисунок 1. Аутентификация РРР CHAP

Маршрутизатор отделения пытается провести аутентификацию сервера сетевого доступа (NAS) или "аутентификатора". CHAP обеспечивает безопасность сети, требуя от операторов обмена "текстовым секретом". Этот секрет никогда не передается по каналу связи. По завершении этапа установления связи аутентификатор передает вызывающей машине запрос, который состоит из аутентификатора (ID), случайного числа и имени центрального компьютера (для местного устройства) или имени пользователя (для удаленного устройства). Вызывающая машина проводит вычисления с помощью односторонней хэш-функции. Аутентификатор, случайное число и общий "текстовый секрет" один за другим подаются на вход хэш-функции. После этого вызывающая машина отправляет серверу ответ, который состоит из хэша и имени центрального компьютера или имени пользователя удаленного устройства. По получении ответа аутентификатор проверяет проставленное в ответе имя и выполняет те же вычисления. Затем результат этих вычислений сравнивается с величиной, проставленной в ответе. Если эти величины совпадают, результат аутентификации считается положительным, система выдает соответствующее уведомление, и LCP устанавливает связь. Секретные пароли на местном и удаленном устройстве должны быть идентичны. Поскольку "текстовый секрет" никогда не передается по каналам связи, никто не может подслушать его с помощью каких-либо устройств и использовать для нелегального входа в систему. Пока сервер не получит адекватный ответ, удаленное устройство не сможет подключиться к местному устройству.

CHAP обеспечивает защиту от использования чужих паролей за счет пошаговых изменений аутентификатора и применения переменной величины запроса. Повторяющиеся запросы предназначены для ограничения времени, в течение которого система теоретически остается подверженной любой отдельной хакерской атаке. Частоту и количество неудачных попыток входа в систему контролирует аутентификатор.