- •Раздел 1. Программное обеспечение для защиты информации
- •1.1. Основные термины информационной безопасности
- •1.2 Организация защиты информации программными средствами
- •Подмена доверенного объекта или субъекта распределенной вс
- •Внедрение в распределенную вс ложного объекта путем использования недостатков алгоритмов удаленного поиска
- •Селекция потока информации и сохранение ее на ложном объекте рвс
- •Модификация информации
- •Подмена информации
- •1.3. Специальное программное обеспечение для защиты информации
- •Защита программ на жестком диске
- •Защита программ от трассировки
- •1.4. Анализ использования программного обеспечения в области безопасности информации
- •Глава 2. Построение информационной системы на основе анализа работы программ информационной безопасности
- •Начальная битовая перестановка (ip).
- •Конечная битовая перестановка (ip–1).
- •Расширение 32-битового блока до 48 бит (e).
1.3. Специальное программное обеспечение для защиты информации
По характеру защиты от угроз, в последнее время сформировалось два типа программ для защиты от вредоносного ПО:
-
классические антивирусы (например, ESET NOD32)
-
комплексные продукты для защиты от различных видов угроз (например, Kaspersky Internet Security)
На сегодняшний день новые вирусы появляются постоянно и распространяются они, благодаря Интернет, с очень высокой скоростью, поэтому детектирование вредоносных программ лишь по поиску фрагментов их уникального кода (сигнатурам, которые хранятся в базах антивирусных программ) оказывается неэффективным. Самые современные антивирусные программы используют интеллектуальные методы поиска угроз, такие как проактивная защита (эвристика). Проактивная защита - метод поиска вредоносного ПО по характеру действий, которые совершает программа (анализ обращений к системному реестру, библиотекам, мониторинг операций чтения/записи и т.д.). Таким образом, проактивно работающий антивирус оперирует не понятиями "легитимный файл - вредоносный файл", а понятиями "разрешенное действие - запрещенное действие". Разумеется, методы проактивной защиты не исключают использования классического анализа кода по сигнатурам, а лишь дополняют его. Здесь возникает еще одна проблема при использовании антивирусного ПО: так как количество известных вирусов постоянно растет - увеличивается как снежный ком и размер антивирусных баз с информацией о существующих вирусах. Производимый "на лету" мониторинг угроз (что является необходимостью) зачастую приводит к существенному замедлению работы компьютеров и серверов. Как показывают результаты тестирований, замедление файловых операций может достигать 100% и более. Чтобы потери в скорости работы вычислительной техники были не столь драматичными, вирусные базы некоторые разработчики периодически "подрезают", - убирая из баз сигнатуры вирусов, которые они считают "устаревшими". Однако тестирования антивирусов, проводимые независимыми организациями (AV-Comparatives.org), показывают, что такие методы оптимизации вредны и могут сделать компьютер беззащитным перед "ретро-вирусом".
Межсетевой экран (firewall) блокирует запросы из Интернет, пропуская разрешенные исходящие запросы пользователей, позволяет контролировать все сетевые порты (запрещать или разрешать работу сетевых сервисов), а также скрывает локальную сеть и шлюз (Proxy) от внешней сети таким образом, что получить информацию о локальной сети извне невозможно. Операционная система Windows Vista уже имеет в своем составе программный межсетевой экран, имевший в прошлом множество уязвимостей, которые, впрочем, компанией Microsoft исправлялись. Однако многие специалисты в области сетевой безопасности по-прежнему считают, что должную безопасность сети обеспечивают лишь firewall сторонних производителей.
Некоторый круг потребительских качеств антивирусного ПО, которые необходимо учитывать при выборе антивирусного пакета:
-
Комплексность защиты от угроз
-
Эффективность работы (качество защиты)
-
Скорость работы
-
Цена
Если с определением типа продукта все довольно очевидно: комплексный продукт типа Internet Security - это более универсальное решение, то с качеством защиты все сложнее. Наиболее оптимальный выбор можно сделать, обратившись к актуальным результатам независимых тестирований антивирусов.
Копирование дискет можно выполнить как по файлам (с помощью команд операционной системы COPY или XCOPY), так и по секторам (командой DISKCOPY, программами PCTOOLS, PCSHELL и аналогичными).
Кроме того, существуют программы, специально предназначенные для копирования дискет, защищенных от копирования, например COPY2PC, TeleDisk. Специальные программы могут копировать дискеты, содержащие только определенные защищенные программные пакеты, или они могут повторять структуру дорожек диска с точностью до бита. Наиболее просто обеспечить защиту от программ копирования дискет по секторам. Можно предложить следующие достаточно простые способы, использующие нестандартное форматирование отдельных дорожек дискеты:
-
форматирование отдельных дорожек с размером секторов, отличным от стандартного для MS-DOS, например, 128 или 1024 байт;
-
создание дорожек за пределами рабочей зоны диска, например, создание 41 дорожки для дискеты емкостью 360 Кбайт или 81 дорожки для дискеты емкостью 1,44 Мбайт;
-
создание большего, чем стандартное, количества секторов на дорожке;
-
форматирование отдельных дорожек с использованием фактора чередования секторов с последующим анализом времени доступа к секторам для обычных стандартных дорожек и для нестандартных дорожек;
-
использование нестандартного символа заполнения при форматировании.
Очевидно, что все эти способы непригодны для защиты от таких программ копирования, которые способны копировать битовую структуру дорожек диска. Можно использовать специальную аппаратуру при записи установочных дискет, которая позволяет записывать отдельные дорожки или секторы как бы с промежуточным уровнем записи. Эти участки дорожки будут читаться нестабильно.
Если скопировать такую дискету на обычной аппаратуре (с использованием обычных НГМД и программ битового копирования) то все дорожки будут читаться стабильно. Если при многократном контрольном чтении указанных секторов или дорожек каждый раз будут получены разные данные - мы имеем дело с оригиналом, в противном случае - с незаконной копией.
Однако дискеты с промежуточным уровнем записи все-таки могут быть скопированы с использованием специальной аппаратуры, копирующей содержимое дорожек "аналоговым" способом (как в бытовом магнитофоне).
Для защиты от аналогового копирования можно использовать дискеты, на которых в некоторых местах искусственно созданы дефекты магнитного покрытия - выжженные лазером небольшие точки или просто царапины.
Проверка основывается на том, что в дефектные места невозможно ничего записать. Если мы имеем дело с копией, то на месте дефектных секторов окажутся хорошие - копируется только информация, но не дефекты дискеты!
Разумеется можно использовать комбинации различных методов защиты от копирования. При этом легко распознаваемые методы (нестандартный размер сектора и т. п.) можно использовать для маскировки какого-либо другого, более тонкого метода защиты.
Более подробно мы остановимся на нестандартном форматировании, как на наиболее простом методе защиты от копирования, для использования которого не требуется ни специальной аппаратуры, ни специально подготовленных дискет с дефектами. Используя сведения о работе с диском на физическом уровне, приведенные в этой книге, вы сможете самостоятельно использовать метод дефектных дискет или дискет с промежуточным уровнем записи.