Емельянова Н.З., Партыка Т.Л., Попов И.И. - Защита информации в персональном компьютере (Профессиональное образование) - 2009
.pdfАппаратные закладки могут быть осуществлены в процессе изготовления ПК, ремонта или проведения профилактических работ. Реальная угроза таких закладок создается массовым и практически неконтролируемым распространением ПК. Особая опасность аппаратных закладок заключается в том, что они мо гут длительное время не проявлять своих вредоносных воздейст вий, а затем начать их осуществление или по истечении опреде ленного времени, или при наступлении некоторого состояния ПК (например, при заполнении данными жесткого магнитного диска до заданного уровня), или по специальной, подаваемой дистанционно команде. Заблаговременное обнаружение аппа ратных закладок возможно только в условиях проверок с ис пользованием специальных методов и средств.
Программные закладки с точки зрения массового пользовате ля представляются особо опасными в силу сравнительной (отно сительно аппаратных) простоты их осуществления, высокой дина мичности их распространения и повышенной трудности защиты от них. Так, если в итоге специальных проверок аппаратные за кладки не были обнаружены или они были ликвидированы (ней трализована возможность их действия), то с высокой степенью достоверности можно утверждать об их отсутствии в соответст вующем ПК. Программные же закладки могут появиться в любое время, чему особенно способствуют следующие обстоятельства:
•массовый обмен информацией на сменных носителях (НГМД, CD/DVD);
•широкое распространение копий программ, приобретен ных незаконным путем;
•возможности дистанционного воздействия на ПК, подклю ченные к сети;
•широкий и непрерывно растущий диапазон разновидно стей закладок, что усложняет процессы их обнаружения и нейтрализации.
Всилу изложенных причин защиту от программных закла док рассмотрим несколько детальней, выделив при этом следую щие вопросы:
•классификация закладок и их характеристики;
•принципиальные подходы и общая схема защиты от за кладок;
•методы и средства защиты;
•рекомендации пользователям ПК по защите от програм мных закладок.
Средства вторжения в частную жизнь
Это программы (privacy-invasive software), игнорирующие право пользователя на частную жизнь (или конфиденциальность) и часто преследующие негативные или коммерческие цели. В та кой автоматизированной среде, как Internet, существует целый ряд угроз конфиденциальности, которые варьируются от систе матической записи повседневных событий (например, какие Internet-сайты были посещены пользователем или какие товары приобретены в Internet-магазинах) до массового маркетинга на основе незаконно полученной персональной информации, а так же распространения информации о смертоносных технологиях, которые могут использоваться, например при терактах.
Сегодня в различных аспектах использования Internet могут возникать следующие ситуации нарушения конфиденциаль ности:
•программы-шпионы (spyware) — собирают и передают пер сональную информацию о пользователе, тайно загружаясь
ивыполняясь на его рабочей станции;
•программные закладки навязчивой рекламы (adware) — не санкционированно отображают рекламу и другое коммер ческое содержание на ПК пользователей, зачастую основы ваясь на персональных данных пользователя, выкраденных программами-шпионами;
•системные мониторы (system monitors) — записывают и от слеживают различные действия, происходящие в компью терной системе;
•перехватчики клавиатуры (keyloggers) — протоколируют ра боту пользователя на клавиатуре;
•саморазмножающиеся вредоносные программы (self-repli cating malware), например, вирусы и черви — загружаются
идезорганизуют работу систем и сетей;
•программы сбора данных (data-harvesting software), предна значенные для сбора почтовых адресов, стали обычным де лом в Internet, в результате чего спам-сообщения по элек тронной почте с нежелательным коммерческим содержани
ем заполнили сети и компьютеры.
Может быть дано следующее определение ПС, нарушающих конфиденциальность:
•эти ПС игнорируют право пользователя на частную жизнь (т. е. нежелательны и не дают пользователю возможность
установить, с какой целью и с какими последствиями дан ные персональной идентичности собираются, хранятся или обрабатываются);
•они распространяются (дистрибьютор часто анонимен, но обычно располагается в Internet-инфраструктуре) с опреде ленными целями, зачастую коммерческого характера (т. е. как некий инструмент извлечения доходов независимо от типа и качества), которые негативно сказываются на поль зователях.
Программы-шпионы. Известен ряд определений этих типов ПС, например: л ю б о е п р о г р а м м н о е о б е с п е ч е н и е , к о т о р о е и с п о л ь з у е т с о е д и н е н и е п о л ь з о в а т е л я с
I n t e r n e t |
в ф о н о в о м р е ж и м е |
( или « b a c k c h a n n e l » ) |
б е з е г о |
в е д о м а и р а з р е ш е н и я |
(2000 г., Стив Гибсон). |
В Антишпионской коалиции (Anti-Spyware Coalition, ASC), которая состоит из заинтересованных общественных групп, тор говых ассоциаций и разработчиков антишпионских программ, пришли к выводу, что термин «шпионские программы» следует использовать на различных уровнях абстракции:
•в узком смысле шпионские программы — средства слеже ния (tracking software), помещенные на ПК пользователя без надлежащего его уведомления, согласия, или контроля;
•в более широком смысле — это программы, которые раз мещаются на ПК без согласия соответствующего пользова теля и/или функционируют таким образом, чтобы мешать пользователю контролировать:
—существенные изменения, которые влияют на эффектив ность, неприкосновенность частной жизни или системы безопасности;
—использование системных ресурсов (в том числе инфор мацию о том, какие программы установлены на компью тере);
—сбор, использование и распространение персональных данных или другой важной информации;
•в наиболее широком смысле ASC предлагает использовать определение «программы-шпионы и другие потенциально нежелательные технологии» для любого программного обеспечения, которое может быть запущено на компьюте
рах пользователей без их информированного согласия. Наиболее часто к этой категории относят программы, кото
рые отправляют личные данные злоумышленнику без ведома и
согласия их владельца. Они используют функции слежения для отправки статистической информации (например, список посе щаемых Web-сайтов, адреса электронной почты в адресных кни гах или набираемый на клавиатуре текст).
Авторы шпионского программного обеспечения утверждают, что эти технологии направлены на изучение потребностей и инте ресов пользователей и позволяют лучше управлять рекламой. Проблема заключается в том, что нет четкой границы между по лезными и злонамеренными приложениями, и никто не гаранти рует, что собираемая информация не будет использована во вред. Данные, полученные шпионскими приложениями, могут содер жать пароли пользователя, PIN-коды, номера счетов и т. д. Шпи онское программное обеспечение зачастую поставляется в ком плекте со свободно распространяемыми программами. Это по зволяет авторам возместить расходы на разработку программ или проводить стимуляцию продаж ПО. Зачастую пользователи ин формируются о присутствии шпионского программного обеспе чения во время установки основной программы. При этом в плат ной версии программы этого программного обеспечения нет.
Примерами хорошо известного программного обеспечения, которое поставляется в комплекте со шпионским, являются кли енты пиринговых (P2P) сетей. Spyfalcon или Spy Sheriff (и многие другие) принадлежат особой подкатегории шпионского ПО. Об этих программах заявляется, что они предназначены для борьбы со шпионским ПО, но на самом деле они сами являются таковым.
Если на компьютере обнаружен файл, принадлежащий шпи онскому ПО, рекомендуется удалить его, так как он с большой вероятностью содержит злонамеренный код.
Компьютерные наблюдения. Этот термин (computer surveil lance) имеет двоякое толкование: во-первых, сюда относятся средства отслеживания (слежения, «трекинга», от англ. tracking) компьютерной активности, во-вторых — это средства «зомбирования» компьютера, превращения его в устройство наблюдения за пользователем.
Компьютеры представляют собой идеальные инструменты для организации подобного наблюдения, поскольку они могут выполнить какие-то действия без ведома и согласия их владель цев. Большинство компьютеров подключены к сетям и могут ис пользоваться (после разрушения средств безопасности), чтобы получить доступ к любой конфиденциальной информации, ко торая может храниться на компьютере.
Известны, например, средства регистрации трафика данных между компьютером и сетью. В некоторых сетях данные отправ ляются только на ту машину, которой они предназначены (unicast), в то время как в других (например, Ethernet) передача транслируется на все связанные компьютеры (broadcast), но об рабатываются данные только целевым компьютером. В послед нем случае можно перехватывать трафик, просто используя дру гой компьютер в той же сети, без необходимости какого-либо программного обеспечения или оборудования на «поднадзор ной» машине.
Известны также и устройства физического (аппаратного) на блюдения («жучки»). Относительно простым «жучком» является перехватчик клавиатуры, способный запоминать и передавать клавиатурные последовательности.
Более сложные (и более легко обнаруживаемые) устройства, имеющие доступ к окружающей информации, могут также, в принципе, быть установлены внутри компьютера (или рядом). Их очевидным недостатком является необходимость физическо го присутствия злоумышленника при их установке в том месте, где находится компьютер, а этот факт легко подпадает под мно жество законодательных определений преступных действий (от метим, однако, что законодательство США, например, дает ра ботодателям довольно широкие полномочия по использованию компьютеров для слежения за поведением работников).
Самый простой способ поместить программы слежения на компьютер заключается в том, чтобы проникнуть в помещение, где находится компьютер, и установить их с компакт-диска, дис кеты или флэш-накопителя. Этот метод имеет недостатки, при сущие аппаратным «жучкам», поскольку требует физического доступа к компьютеру.
Более сложный метод предполагает, чтобы пакет программ ного обеспечения слежения был установлен в качестве компью терного вируса или «троянского коня». Эта тактика имеет то преимущество, что сразу несколько компьютеров будут «обору дованы для наблюдения». Тем не менее, если вирус будет рас пространяться, то он станет мишенью антивирусных программ, которые могут удалить ПО наблюдения с зараженных компью теров.
Известно, что можно отслеживать операции компьютера на расстоянии, используя только оборудование, находящееся в от крытой продаже, путем анализа излучения ЭЛТ-монитора. Из
вестно, кроме того, что высокочастотный шум, излучаемый про цессором, включает в себя информацию о выполняющихся ко мандах. Более того, исследования фирмы IBM показали также, что для большинства компьютерных клавиатур каждая нажимае мая клавиша издает свой специфический звук/шум, и эти разли чия можно индивидуально идентифицировать при определенных условиях, и поэтому записать и идентифицировать последова тельности клавиатурных кодов без необходимости анализа рабо ты компьютерных программ. Еще одним каналом отслеживания использования компьютера (работа с клавиатурой, отображение изображений и т. д.) являются видеокамеры, которые становятся достаточно компактными, чтобы быть легко скрытыми для обес печения тайного наблюдения.
Беспроводная связь между компьютерами или между компо нентами компьютера (например, клавиатуры, мыши, принтеры, модемы и т. д.) также создает проблемы безопасности. Некото рые беспроводные протоколы являются в принципе ошибочны ми с точки зрения безопасности (например, WAP, Bluetooth), поэтому при разработке новых беспроводных стандартов (обес печивающих большую дальность и скорость передачи) требова ния к безопасности возрастают.
Радикальным, но чрезмерно дорогим средством защиты от дистанционного наблюдения на основе излучения мониторов или процессоров является экранирование помещения («клетка Фарадея»), исключающее проникновение электромагнитных волн за пределы экрана. Более простым методом является при менение специальных программных средств (например, в прави тельственных учреждениях США с этой целью используется продукт Tempest), работа которых изменяет естественный харак тер излучения компьютера.
М о н и т о р и н г о в ы й п р о г р а м м н ы й п р о д у к т (tracking software — следящая программа) предназначен для обеспечения наблюдаемости вычислительных систем, а также позволяет фик сировать деятельность пользователей и процессов, использова ние пассивных объектов, а также однозначно устанавливать идентификаторы причастных к определенным событиям пользо вателей и процессов.
Разновидности:
• E m p l o y e e M o n i t o r i n g S o f t w a r e — мониторинго вые программные продукты для контроля сотрудников предприятий и организаций;
• P a r e n t a l C o n t r o l S o f t w a r e — мониторинговые про граммные продукты для родительского контроля несовер шеннолетних детей;
• A c c e s s |
C o n t r o l S o f t w a r e — |
мониторинговые про |
|
граммные продукты контроля доступа; |
|||
• P e r s o n n e l |
S e c u r i t y P r o g r a m s |
— программные про |
|
дукты защиты от персонала. |
|
||
Очевидно, |
это |
п р о д у к т ы д в о й н о г о н а з н а ч е н и я , |
|
поскольку только метод применения мониторинговых про граммных продуктов позволяет увидеть грань между обеспечени ем безопасности и нарушением безопасности, так как они могут использоваться:
•санкционированно — для предотвращения нарушения по литики безопасности и/или обеспечения ответственности за определенные действия. Это применение мониторинго вых программных продуктов происходит с ведома владель ца (администратора безопасности) автоматизированной системы или с ведома владельца конкретного персонально го компьютера;
•несанкционированно — установка мониторинговых про граммных продуктов происходит без ведома владельца (администратора безопасности) автоматизированной сис темы или без ведома владельца конкретного персонально
го компьютера. Несанкционированно применяемые мони торинговые программные продукты квалифицируются как ш п и о н с к и е п р о г р а м м н ы е п р о д у к т ы .
Программа отслеживания, установленная на компьютере, может анализировать содержимое жесткого диска, собирать оп ределенные данные, запоминать пароли и даже передавать эту информацию своему «шефу» через Internet. Наиболее распро страненными, безусловно, являются коммерческие шпионские программы, предназначенные для сбора маркетинговой инфор мации. Однако такие программы не ограничиваются только сбо ром данных, они также могут производить более опасные дейст вия, а именно удаление или изменение данных.
Например, такие приложения могут быть загружены с Web-уЗла, из почтового или мгновенного сообщения. Затем они собирают конфиденциальную информацию о поведении пользо вателя.
H T T P c o o k i e s ( инд е кс ы н а в и г а ц и и ) — небольшие текстовые файлы, протоколирующие состояния HTTP-обмена и
активность браузера (поскольку протокол HTTP не предусматри вает запоминания состояний сессии) также могут использовать ся для отслеживания действий пользователя. Поэтому «антишпионские программы» (например, AdAware, см. ниже) обычно воспринимают их как закладки и либо удаляют, либо рекоменду ют пользователю удалить их.
Компьютерные вирусы
Вирус — это специально написанная, небольшая по размерам программа (т. е. некоторая совокупность выполняемого кода), которая может «приписывать» себя к другим программам («зара жать» их), создавать свои копии и внедрять их в файлы, систем ные области компьютера и т. д. Компьютерные вирусы могут раз личаться по активности и степени опасности. Некоторые из ви русов особо опасны, так как могут уничтожать файлы на компьютере. С другой стороны, некоторые из вирусов не приво дят к серьезным повреждениям. Они просто досаждают пользо вателю своей деятельностью, которая призвана демонстрировать навыки их разработчиков.
По-видимому, самым ранним примером могут служить пер вые прототипы будущих вирусов — п р о г р а м м ы - к р о л и к и (rabbi t s) . Не причиняя разрушений, они тем не менее были сконструированы так, что, многократно копируя себя, захваты вали большую часть ресурсов системы, отнимая процессорное время у других задач. История их создания доподлинно неиз вестна. Возможно, они явились следствием программной ошиб ки, которая приводила к зацикливанию и наделяла программу репродуктивными свойствами. Первоначально кролики встреча лись только на локальных машинах, но с появлением сетей бы стро «научились» распространяться по последним.
Затем, в конце 60-х гг. была обнаружена саморазмножающаяся по сети APRAnet программа, известная сегодня как Creeper (Вьюнок), которая проявляла себя текстовым сообщением:
«i'm |
the creeper |
catch |
me.if |
you can» |
|
(« я |
вьюнок. |
поймай |
меня, |
если |
сможешь»), |
и экономно относилась к ресурсам пораженной машины, не причиняя ей никакого вреда, разве что, слегка беспокоя пользо вателя. Каким бы безвредным Вьюнок ни казался, он впервые
показал, что проникновение на чужой компьютер возможно без ведома и против желания его владельцев.
С появлением Вьюнка родились и первые системы защиты. Теперь компьютеры стали ценностью, которую следовало охра нять не только от воров с отмычками и трейлерами (а на чем еще можно было увезти компьютеры того времени?), но и от разруши тельных или злоумышленных команд, проникающих по сети или через магнитные носители. Первым шагом в борьбе против Вьюн ка стал Жнец (Reaper), репродуцирующийся наподобие Вьюнка, но уничтожающий все встретившиеся ему копии последнего.
Так как вирус самостоятельно обеспечивает свое размноже ние и распространение, пользователь в случае обнаружения ви руса должен проверить всю систему, уничтожая копии вируса. Если удалось уничтожить все копии вируса, то можно сказать, что вылечена вся система; в противном случае уцелевшие копии снова размножатся и все неприятности повторятся сначала. Сво им названием компьютерные вирусы обязаны определенному сходству с биологическими вирусами:
•по способности к саморазмножению;
•высокой скорости распространения;
•избирательности поражаемых систем (каждый вирус пора жает только определенные системы или однородные груп пы систем);
•способности «заражать» еще незараженные системы;
•трудности борьбы с вирусами и т. д.
В последнее время к этим особенностям, характерным для вирусов компьютерных и биологических, можно добавить еще и постоянно увеличивающуюся быстроту появления модификаций и новых поколений вирусов.
Только если в случае вирусов биологических эту скорость можно объяснить могуществом и изобретательностью природы, то вирусы компьютерные скоростью возникновения новых штам мов обязаны исключительно идеям людей определенного склада ума.
Программа, внутри которой находится вирус, называется «за раженной». Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и «заражает» другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов на диске, «засоряет» оперативную память и т. д.). Для маскировки вируса действия по заражению других программ и нанесению
вреда могут выполняться не всегда, а, скажем, при выполнении определенных условий.
Классификация вирусов. Один из известных «вирусологов» страны Е. Касперский предлагает условно классифицировать ви русы по следующим признакам:
•по среде обитания вируса;
•по способу заражения среды обитания;
•по деструктивным возможностям;
•по особенностям алгоритма вируса.
Более подробная классификация внутри этих групп пред ставлена в табл. 2.2.
Таблица 2.2. Классы вирусов
Признак |
Тип вируса |
Пояснения |
|
Сетевые |
Распространяются по компьютерной сети |
|
Файловые |
Внедряются в выполняемые файлы |
ос
I
J
°
а
— ------
Загрузочные Внедряются в загрузочный сектор диска (Boot-ceKTop) или в сек- I тор, содержащий системный загрузчик винчестера (M aster Boot
Record)
-------------------------------------------------------------- —
о- |
Комбинированные |
Например, файлово-загрузочные вирусы, заражающие как фай- і |
|
|
лы, так и загрузочные секторы дисков. Такие вирусы, как прави |
|
|
ло, имеют довольно сложный алгоритм работы и часто приме |
|
|
няют оригинальные методы проникновения в систему |
|
Резидентные |
При инфицировании компьютера оставляет в оперативной памя |
|
|
ти свою резидентную часть, которая затем перехватывает обра |
|
|
щение операционной системы к объектам заражения и внедря |
|
|
ется в них. Резидентные вирусы находятся в памяти и являются |
|
|
активными вплоть до выключения или перезагрузки компьютера |
|
Нерезидентные |
|
Безвредные |
|
Неопасные |
Е о |
----- |
Ш2 |
Опасные |
о g |
___ |
аз g |
|
Не заражают память компьютера и являются активными ограни- |
| |
ченное время. Некоторые вирусы оставляют в оперативной па |
|
мяти небольшие резидентные программы, которые не распро |
|
страняют вирус. Такие вирусы считаются нерезидентными |
jj |
Не влияющие на работу компьютера (кроме уменьшения свобод- \ ной памяти на диске в результате своего распространения)
Влияние ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эф фектами
М огут привести к серьезным сбоям в работе I
1=1 |
Очень опасные |
М огут привести к потере программ, уничтожить данные, стереть1 |
|
|
необходимую для работы компьютера информацию, записанную |
|
|
в системных областях памяти |