1 Компьютерная безопасность. Защита информации Насколько ресурсы компьютерных сетей открыты её абонентам, настолько же и ресурсы абонентских сетей при определённых условиях могут быть доступны тем, кто располагает средствами, необходимыми для доступа к ним. Поэтому работа в компьютерных сетях должна сопровождаться мерами, направленными на обеспечение информационной безопасности. Под информационной безопасностью понимают защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры. Безопасность достигается принятием мер по обеспечению конфиденциальности и целостности обрабатываемой ею информации. Угрозы целостности информации в ПК, как и в любой другой автоматизированной системе, могут быть случайными и преднамеренными. Основными разновидностями случайных угроз являются отказы, сбои, ошибки, стихийные бедствия, а конкретными источниками их проявления — технические средства, программы и пользователи. Основные цели защиты информации: 1. обеспечение физической целостности; 2. предупреждение несанкционированного получения; 3. предупреждение несанкционированной модификации; 4. предупреждение несанкционированного копирования. Обеспечение физической целостности. Физическая целостность информации в ПК зависит от целостности дисков, целостности информации на дисках и полях оперативной памяти. В широком спектре угроз целостности, информации в ПК следует обратить особое внимание на угрозы, связанные с недостаточно высокой квалификацией некоторых владельцев компьютеров. В этом плане особо опасной представляется возможность уничтожения или искажения данных на жестком диске, на котором могут накапливаться очень большие объемы данных, самим пользователем (например, при форматировании диска). Предупреждение несанкционированной модификации. Весьма опасной разновидностью несанкционированной модификации информации в ПК является действие вредоносных программ (компьютерных вирусов), которые могут разрушать или уничтожать программы или массивы данных. Предупреждение несанкционированного получения информации, находящейся в ПК. Данная цель защиты приобретает особую актуальность в тех случаях, когда хранимая или обрабатываемая информация содержит тайну (личную, коммерческую и т. п.). Предупреждение несанкционированного копирования информации. Актуальность данной разновидности защиты определяется следующими тремя обстоятельствами: 1. накопленные массивы информации все больше становятся товаром; 2. широкое распространение торговли компьютерными программами; 3. современные ёмкие накопители создают благоприятные условия для широкомасштабного копирования информации ПК. Получение незаконного доступа к информации программными средствами: 1. уничтожение (искажение) или регистрация защищаемой информации с помощью программных закладок, скрытно встроенных в системное или прикладное ПО; 2. автоматизированный программный несанкционированный доступ к информации (вирусы). Основные механизмы защиты: 1. физическая защита ПК и носителей информации; 2. опознавание (аутентификация) пользователей и используемых компонентов обработки информации; 3. разграничение доступа к элементам защищаемой информации; 4. криптографическое закрытие защищаемой информации, хранимой на носителях (архивация данных). Меры обеспечения безопасности: 1. Организационные. 2. Технические. 3. Программные. 2 Организационные меры обеспечивают исполнение существующих нормативных актов и строятся с учетом существующих правил поведения. Технические (аппаратно-программные) меры защиты основаны на использовании различных электронных устройств и специальных программ, которые самостоятельно или в комплексе с другими средствами, реализуют: идентификацию (распознавание) и аутентификацию (проверку подлинности) субъектов (пользователей, процессов), разграничение доступа к ресурсам, регистрацию и анализ событий, криптографическое закрытие информации, резервирование ресурсов и компонентов систем обработки информации и др. Программные меры защиты основаны на использовании программ- средств обеспечения компьютерной безопасности. К ним относятся средства пассивной и активной защиты от несанкционированного доступа, просмотра и изменения данных. В качестве средств пассивной защиты используют служебные программы, предназначенные для резервного копирования. В качестве средств активной защиты применяют антивирусные средства. На сегодняшний день известно огромное количество антивирусных программ, разработанных различными антивирусными лабораториями. К наиболее популярным антивирусным средствам относятся: Антивирус Касперского, который имеет четыре компонента защиты: 1. файловый антивирус, обеспечивающий безопасность файлов; 2. почтовый антивирус; 3. веб-антивирус, контролирующий серфинг в Интернете; 4. проактивная защита – контроль работы макросов и блокировка опасных макрокоманд. В новой версии реализована новая концепция тройной защиты: проверка баз по сигнатурам, проактивный и эвристический механизмы. Антивирус компании ESET – NOD32 признается лучшим средством защиты от новых вирусов и атак благодаря мощному эвристическому анализатору. Основные преимущества: высокий уровень защиты, низкая ресурсоемкость, высокая скорость работы. Российская компания «Доктор Веб» является поставщиком антивирусных продуктов Doctor Web, эвристический анализатор которого в сочетании с ежедневно обновляющимися вирусными базами обеспечивает защиту от вирусов и макровирусов, «троянских программ», почтового червя и других видов вредоносного программного кода. Одним из известных иностранных антивирусов является Norton Antivirus компании Symantec. Он успешно борется с вирусами, троянскими компонентами и интернет-червями. Кроме Norton Antivirus компания разработала и другие средства для защиты от угроз, распространяемых через Интернет. Panda Antivirus . Большинство Защитных продуктов полагаются на часто обновляемые локальные базы знаний. Технология Panda работает по другому принципу- большинство сигнатур злонамеренных кодов находятся в удаленной базе данных, которая обновляется в режиме реального времени. Новый антиспам Panda также полагается на механизм коллективного разума, в котором есть необходимые дефиниции для сортировки писем. В этой версии есть также система эвристического сканирования, предотвращающая хищение персональных данных. Этот механизм особенно эффективен в борьбе с банковскими троянами. Шифрование (криптозащита). Шифрование подразделяется на симметричное с секретным ключом, когда знание ключа шифрования влечет знание ключа расшифровки, и асимметричное с открытым ключом, когда знание ключа шифрования не позволяет узнать ключ расшифровки. Различают также обратимое и необратимое шифрование. Последнее может использоваться для вычисления криптографических контрольных сумм (хэш - функций, дайджестов, имитовставок). Электронная подпись Механизм электронной подписи включает в себя две процедуры: • Выработку подписи; • Проверку подписанной порции данных. 3 Процедура выработки подписи использует информацию, известную только лицу, визирующему порцию данных. Процедура проверки подписи является общедоступной, она не должна позволять найти секретный ключ подписывающего. Вирусы. Виды угроз. Защита от вирусов Вирусы - зловредные программки, которые могут в одночасье испортить плоды многомесячного труда – уничтожить текстовые файлы и электронные таблицы, а то и вообще испортить файловую систему на жестком диске. Ведут себя компьютерные вирусы точно так же, как вирусы живые: они прячут свой код в теле «здоровой» программы и при каждом ее запуске активируются и начинают бурно «размножаться», бесконтрольно распространяясь по всему компьютеру, уменьшая доступный объём дискового пространства. Это - одна сторона деятельности вируса. Значительное число существующих вирусов принадлежит именно к этой, относительно безвредной категории. Но, помимо размножения, у вируса есть еще и другое «хобби» — разрушать, пакостить. Степень «пакостности» вируса может быть разная — одни ограничиваются тем, что выводят на экран навязчивую картинку, мешающую вашей работе, другие, полностью уничтожают данные на жестком диске. К счастью, такие «жестокие» вирусы встречаются нечасто. Нет надежды справиться с ними окончательно в какие-то обозримые сроки. Ведь написать вирус — задача не очень сложная. Студенческих мозгов и умения, во всяком случае, на это хватает. Вообще-то век вируса недолог. Антивирусные программы умнеют не по дням, а по часам. И вирус, еще вчера казавшийся неуловимым, сегодня моментально удаляется и обезвреживается. Потому и трудно найти сегодня вирусы, чей возраст превышает год-два — остальные уже давно сохранились лишь в коллекциях. Как и обычные вирусы, вирусы компьютерные — паразиты, для размножения им нужен «носитель»-хозяин, здоровая программа или документ, в тело которой они прячут участки своего программного кода. Сам вирус невелик — его размер редко измеряется килобайтами. В тот момент, когда вы, ничего не подозревая, запускаете на своем компьютере зараженную программу или открываете документ, вирус активизируется и заставляет компьютер следовать не вашим, а его, вируса, инструкциям. Вирусы могут портить не только данные и программы, но и «железо». Например, уничтожают содержимое BIOS материнской платы или калечат жесткий диск. Первые вредоносные программки обнаружили в конце 60-х в нескольких «больших» компьютерах, располагавшихся в крупных исследовательских центрах США. В отличие от нормальных программ выполнявших все распоряжения человека, эти программки сильно замедляли работу компьютера. Хорошо хоть, что ничего при этом не портили и не размножались. Однако продлилась это недолго. Уже в 70-х годах были зарегистрированы первые настоящие вирусы, способные к размножению и даже получившие собственные имена: большой компьютер Univac 1108 «заболел» вирусом Pervading Animal, а на компьютерах из славного семейства IBM-360/370 свил гнездо вирус Christmas tree. К 80-м годам число активных вирусов изменялась уже сотнями. А появление и распространение персональных компьютеров породило настоящую эпидемию — счет вирусов пошел на тысячи. Правда, термин «компьютерный вирус» появился только в 1984 году. Первые вирусы были простыми и неприхотливыми — особо от пользователей не скрывались, «скрашивали» свое разрушительное действие (удаление файлов, разрушение логической структуры диска) выводимыми на экран картинками и каверзными «шутками»: «Назовите точную высоту горы Килиманджаро в миллиметрах! При введении неправильного ответа все данные на вашем винчестере будут уничтожены!!!». Выявить такие вирусы было нетрудно: они «приклеивались» к исполняемым (*.соm или *.ехе) файлам, изменяя их оригинальные размеры, — чем и пользовались первые антивирусы, успешно выявлявшие нахалов. Позднее вирусы научились маскироваться, запрятывая свой программный код в таких потаенных уголках, до которых, как им казалось, ни один антивирус добраться не мог. Поначалу — действительно, не добирались. Потому и назывались такие вирусы «невидимками» (stealth). Когда против stealth- вирусов было наконец-то найдено «противоядие», компьютерный народ вздохнул с облегчением. А все еще только начиналось... В 90-е годы вирусы стали «мутировать» — постоянно изменять свой программный код, пряча его к тому же в различных участках жесткого диска. Если раньше вирусы «паразитировали» на одном
4 файле, то теперь они разделялись на несколько независимых «кусочков» — и лишь соединяясь, они начинали творить свои стандартные безобразия. Такие вирусы-мутанты стали называть « полиморфными». Теперь ликвидировать одним ударом целый класс вирусов было невозможно, к каждому приходилось искать свой особый подход. Весьма весомую «лепту» в распространение вирусов внес Интернет. Пожалуй, впервые внимание общественности к проблеме интернет-вирусов было привлечено после появления знаменитого «червя Морриса» - безобидного вируса, в результате неосторожности его создателя отправившегося «ползать» по всей мировой Сети. В 1995 году, после появления операционной системы Windows 95 Microsoft с большой помпой объявила: старым DOS-вирусам конец, Windows защищена от них на 100 процентов, ну а новых вирусов в ближайшее время не предвидится. Если бы! Уже в том же 1995 году было зарегистрировано несколько мощных вирусных атак и создан первый вирус, работающий под Windows 95. Через полгода появились вирусы нового, совершенно неизвестного типа и принципа действия. В отличие от других вирусов, новички паразитировали не на исполняемых файлах, а на документах, подготовленных в популярных программах из комплекта Microsoft Office. В текстовый редактор Microsoft Word и в табличный редактор Microsoft Excel был встроен свой собственный язык программирования — Visual Basic for Applications (VBA), предназначенный для создания специальных дополнений к редакторам — макросов. Эти макросы сохранялись в теле документов Microsoft Office и легко могли быть заменены вирусами. После открытия зараженного файла вирус активировался и заражал все документы Microsoft Office на вашем диске. Первоначально макровирусы - портили только текстовые документы, а в скором времени перешли к уничтожению информации. И вот буквально через несколько дней после своего появления вирус Concept, поражающий документы Word, распространился по все планете. Зараженные файлы Word с лакомым содержанием (например, списками паролей к интернет-серверам с коллекциями порнографических картинок) путешествовали от пользователя к пользователю через Интернет. Доверчивые пользователи хватали «наживку» не задумываясь — считая что, через тексты вирусы не передаются! В итоге за четыре года, прошедших с момента появления первого «макровируса», этот класс вирусов стал самым многочисленным и опасным. Предохраниться от макровирусов не так уж сложно. При открытии любого документа, содержащего встроенные макросы, Word или Excel обязательно спросит пользователя «Загружать ли макросы?». Нажмите кнопку «Нет» — и вирусу будет поставлен надежный заслон. Но большинство пользователей игнорирует предупреждения программы. И заражаются... Разумеется, одними макровирусами дело не ограничилось. В 1995-1999 годах на просторах Интернет весело резвилась добрая сотня «Windows-совместимых» вирусов. Только за период лета 1998 - лета 1999 года мир пережил несколько поистине разрушительных вирусных атак: в результате деятельности «сладкой троицы» вирусов — Melissa, Win95.CIH и Chernobyl, — из строя были выведены около миллиона компьютеров во всех странах мира. Вирусы портили жесткий диск, уничтожали BIOS материнской платы. Нет сомнения, что вирусные атаки будут продолжаться и впредь — ведь не перевелись еще на свете глупцы, жаждущие геростратовой славы. Защита от компьютерных вирусов. Компьютерный вирус – специально написанная программа, способная самопроизвольно присоединиться к другим программам, создавать свои копии и внедрять их в файлы, системные области компьютера и в вычислительные сети с целью нарушения работы программ, порчи файлов и каталогов, создания всевозможных помех в работе на компьютере. Проникнув в один компьютер, вирус способен распространиться на другие. Основными типами компьютерных вирусов являются: • программные вирусы; • загрузочные вирусы; • макровирусы. К компьютерным вирусам примыкают и так называемые троянские кони (троянские программы). Программные вирусы — это блоки программного кода, целенаправленно внедренные внутрь других прикладных программ. При запуске программы, несущей вирус, происходит запуск 5 имплантированного в нее вирусного кода. Работа этого кода вызывает скрытые от пользователя изменения в файловой системе жестких дисков и/или в содержании других программ. Так, например, вирусный код может воспроизводить себя в теле других программ — этот процесс называется размножением. По прошествии определенного времени, создав достаточное количество копий, программный вирус может перейти к разрушительным действиям — нарушению работы программ и операционной системы, удалению информации, хранящейся на жестком диске. Этот процесс называется вирусной атакой. Самые разрушительные вирусы могут инициировать форматирование жестких дисков. Поскольку форматирование диска — достаточно продолжительный процесс, который не должен пройти незамеченным со стороны пользователя, во многих случаях программные вирусы ограничиваются уничтожением данных только в системных секторах жесткого диска, что эквивалентно потере таблиц файловой структуры. В этом случае данные на жестком диске остаются нетронутыми, но воспользоваться ими без применения специальных средств нельзя, поскольку неизвестно, какие сектора диска каким файлам принадлежит. Теоретически восстановить данные в этом случае можно, но трудоемкость этих работ исключительно высока. Т.к. аппаратное и программное обеспечение настолько взаимосвязаны, бывают случаи, что программные повреждения приходится устранять заменой аппаратных средств. Так, например, в большинстве современных материнских плат базовая система ввода-вывода (BIOS) хранится в перезаписываемых постоянных запоминающих устройствах (так называемая флэш-память). Возможность перезаписи информации в микросхеме флэш-памяти используют некоторые программные вирусы для уничтожения данных BIOS. В этом случае для восстановления работоспособности компьютера требуется либо замена микросхемы, хранящей BIOS, либо ее перепрограммирование на специальных устройствах, называемых программаторами. Программные вирусы поступают на компьютер при запуске непроверенных программ, полученных на внешнем носителе или принятых из Интернета. При обычном копировании зараженных файлов заражение компьютера произойти не может. В связи с этим все данные, принятые из Интернета, должны проходить обязательную проверку на безопасность, а если получены незатребованные данные из незнакомого источника, их следует уничтожать, не рассматривая. Обычный прием распространения «троянских» программ — приложение к электронному письму с «рекомендацией» извлечь и запустить якобы полезную программу. Загрузочные вирусы. От программных вирусов загрузочные вирусы отличаются методом распространения. Они поражают не программные файлы, а определенные системные области магнитных носителей. Кроме того, на включенном компьютере они могут временно располагаться в оперативной памяти. Обычно заражение происходит при попытке загрузки компьютера с магнитного носителя, системная область которого содержит загрузочный вирус. Происходит сначала проникновение вируса в оперативную память, а затем в загрузочный сектор жестких дисков. Далее этот компьютер сам становится источником распространения загрузочного вируса. Макровирусы. Эта особая разновидность вирусов поражает документы, выполненные в некоторых прикладных программах, имеющих средства для исполнения так называемых макрокоманд. В частности, к таким документам относятся документы текстового процессора Microsoft Word (они имеют расширение .DOC). Заражение происходит при открытии файла документа в окне программы, если в ней не отключена возможность исполнения макрокоманд. Как и для других типов вирусов, резуль- тат атаки может быть как относительно безобидным, так и разрушительным. Вирусы так же можно разделить на классы по следующим признакам: по среде обитания вируса; по способу заражения; по деструктивным возможностям; по особенностям алгоритма вируса. По среде обитания вирусы можно разделить на сетевые, файловые (программные) и загрузочные. Сетевые вирусы распространяются по компьютерной сети, файловые внедряются в выполняемые файлы (программы), загрузочные - в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий системный загрузчик винчестера (Master Boot Record). Существуют сочетания - например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы и часто применяют оригинальные методы проникновения в систему. 6 По способу заражения вирусы делятся на резидентные и нерезидентные. Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными. По деструктивным возможностям вирусы можно разделить на: безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения); неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами; опасные вирусы, которые могут привести к серьезным сбоям в работе; очень опасные, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти. Известны случаи, когда вирусы приводили к потере информации не только в масштабах одного или нескольких компьютеров, но и являлись причиной остановки работы крупных организаций. Самые разрушительные вирусы могут инициировать форматирование жёстких дисков. Но так как это долгий процесс, который не пройдёт незамеченным для пользователя, вирус ограничивается уничтожением данных в системных секторах жёсткого диска, что эквивалентно потере таблиц файловой структуры. Сами данные остаются нетронутыми, но воспользоваться ими уже невозможно, так как неизвестно какие сектора каким файлам принадлежат. По особенностям алгоритма можно выделить следующие группы вирусов: компаньон-вирусы (companion) - это вирусы, не изменяющие файлы. Алгоритм работы этих вирусов состоит в том, что они создают для EXE-файлов файлы-спутники, имеющие то же самое имя, но с расширением .COM, например, для файла XCOPY.EXE создается файл XCOPY.COM. Вирус записывается в COM-файл и никак не изменяет EXE-файл. При запуске такого файла DOS первым обнаружит и выполнит COM-файл, т.е. вирус, который затем запустит и EXE-файл. вирусы-“черви” (worm) - вирусы, которые распространяются в компьютерной сети и, так же как и компаньон-вирусы, не изменяют файлы или сектора на дисках. Они проникают в память компьютера из компьютерной сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. “паразитические” - все вирусы, которые при распространении своих копий обязательно изменяют содержимое дисковых секторов или файлов. В эту группу относятся все вирусы, которые не являются “червями” или “компаньон”. “студенческие” - крайне примитивные вирусы, часто нерезидентные и содержащие большое число ошибок; “стелс”-вирусы (вирусы-невидимки, stealth), представляющие собой весьма совершенные программы, которые перехватывают обращения DOS к пораженным файлам или секторам дисков и “подставляют” вместо себя незараженные участки информации. Кроме этого, такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие “обманывать” резидентные антивирусные мониторы. “полиморфик”-вирусы (самошифрующиеся или вирусы-призраки, polymorphic) - достаточно труднообнаруживаемые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик- вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика. “макро-вирусы” - вирусы этого семейства используют возможности макро-языков, встроенных в системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). В настоящее время наиболее распространены макро-вирусы заражающие текстовые документы редактора Microsoft Word. Каким образом антивирусные программы защищают компьютер? Антивирусные программы проверяют электронную почту и другие файлы компьютера на наличие вирусов, «червей» и «троянских коней». При обнаружении вируса, «червя» или 7 «троянского коня» антивирусная программа либо отправляет вирус в карантин, либо полностью удаляет его до нанесения ущерба компьютеру и файлам. Некоторые компании, производящие антивирусные программы, предоставляют регулярное обновление антивирусных баз. Многие антивирусные программы имеют функцию автоматического обновления. При обновлении антивирусного программного обеспечения сведения о новых вирусах добавляются в список вирусов, на наличие которых выполняется проверка, обеспечивая защиту компьютера от новых атак. При отсутствии автоматического антивирусного обновления рекомендуется производить эту процедуру регулярно, так как новые вирусы появляются ежедневно. Если используемая антивирусная программа требует подписки, настоятельно рекомендуется поддерживать подписку в активном состоянии для получения регулярных обновлений. Устаревший список вирусов подвергает компьютер новым угрозам безопасности. Различают следующие виды антивирусных программ: Программы-мониторы. Резидентные программы, находящиеся постоянно в оперативной памяти компьютера и отслеживающие все файловые операции в системе. Позволяют обнаружить и удалить вирус до момента реального заражения системы в целом. Программы-сканеры. Осуществляют поиск вируса по запросу пользователя на конкретно указанных дисках, папках или файлах. Программы-доктора или фаги. Они не только находят заражённые файлы, но и удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. Среди фагов выделяют полифаги – программы, предназначенные для поиска и уничтожения большого количества вирусов, например Doctor Web или Norton AntiVirus. Программы- вакцины или иммунизаторы. Это программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, лечащие этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их заражёнными и поэтому не внедрится. Почему необходимо бороться с компьютерными вирусами? Хотя вирусные атаки случаются не очень часто, общее число вирусов слишком велико, а ущерб от “хулиганских” действий вируса в системе может оказаться значительным. Существуют вирусы, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, привести к серьезным сбоям в работе компьютера. В результате этих действий Вы можете навсегда потерять данные, необходимые для работы и понести существенный моральный и материальный ущерб. “Эпидемия” компьютерного вируса в организации (неважно - большой или маленькой) может полностью дестабилизировать ее работу. При этом может произойти сбой в работе, как отдельных компьютеров, так и компьютерной сети в целом, что повлечет за собой потерю информации, необходимой для нормальной работы и потерю времени, которое будет затрачено на восстановление данных и приведением компьютеров и/или сети в рабочее состояние. Возможные симптомы вирусного поражения Замедление работы некоторых программ. Увеличение размеров файлов (особенно выполняемых). Появление не существовавших ранее “странных” файлов. Уменьшение объема доступной оперативной памяти (по сравнению с обычным режимом работы). Внезапно возникающие разнообразные видео и звуковые эффекты. При всех перечисленных выше симптомах, а также при других “странных” проявлениях в работе системы (неустойчивая работа, частые “самостоятельные” перезагрузки и прочее) рекомендуется, немедленно произвести проверку Вашей системы на наличие вирусов. При этом лучше, если программа будет иметь самую последнюю версию и самые свежие обновления антивирусных баз. Методы защиты от компьютерных вирусов Предотвращение поступления вирусов; Предотвращение вирусной атаки, если вирус все-таки попал в компьютер; Предотвращение разрушительных действий, если атака произошла. Для реализации защиты существует три метода:
8 программные методы защиты; аппаратные методы защиты; организационные методы защиты. Как предотвратить поступление компьютерных вирусов Одним из основных методов борьбы с вирусами является, как и в медицине, своевременная профилактика. Компьютерная профилактика состоит из небольшого количества правил, соблюдение которых значительно снижает вероятность заражения вирусом и утери каких-либо данных: 1. Обязательно делайте регулярное резервное копирование. 2. Покупайте дистрибутивные копии программного обеспечения у официальных продавцов. 3. Периодически сохраняйте файлы, с которыми ведется работа, на внешний носитель. 4. Проверяйте перед использованием флэшку. Не запускайте непроверенные файлы, в том числе полученные по компьютерным сетям. 5. Ограничьте круг лиц, допущенных к работе на конкретном компьютере. 6. Периодически проверяйте компьютер на наличие вирусов. При этом пользуйтесь свежими версиями антивирусных программ. Если вирус попал в компьютер Основное средство защиты информации – это резервное копирование наиболее важных данных. Резервные копии хранят на внешних носителях. Даже в случае полной потери данных на жёстком диске последствия не будут катастрофичными. Жёсткий диск придётся переформатировать, затем на него установить операционную систему с дистрибутивного компакт-диска, затем под её управлением установить необходимое программное обеспечение (тоже с дистрибутивных носителей). Завершается процесс восстановлением данных с резервных носителей. Программные средства антивирусной защиты: 1. Создание образа жёсткого диска на внешних носителях. В случае выхода из строя данных в системных областях жёсткого диска сохранённый «образ диска» может позволить восстановить если не все данные, то большую их часть. Это же средство поможет от потери данных при аппаратных сбоях или при неаккуратном форматировании жёсткого диска. 2. Регулярное сканирование жёсткого диска в поисках компьютерных вирусов. Сканирование выполняется автоматически при каждом включении компьютера, но следует иметь в виду, что вирус отыскивают путём сравнения кода программ с кодами известных вирусов, хранящимися в базе данных. 3. Если база данных устарела, а вирус является новым, сканирующая программа его не обнаружит. Поэтому следует регулярно (раз в 2 недели) обновлять базу данных. 4. Контроль за изменением размеров и других атрибутов файлов. Поскольку некоторые вирусы, размножаясь, изменяют параметры заражённых файлов, контролирующая программа обнаружит их действия и предупредит пользователя. 5. Контроль за обращениями к жесткому диску. Поскольку наиболее опасные вирусы модифицируют данные, записанные на жёстком диске, антивирусные программы могут контролировать обращения к нему и предупредить пользователя о подозрительной активности. При работе в Интернете не допускайте действий, нарушающих законодательства тех стран, на территории которых расположены серверы Интернета. К таким действиям относятся вольные или невольные попытки нарушить работоспособность компьютерных систем, попытки взлома защищенных систем, использование и распространение программ, нарушающих работоспособность компьютерных систем (в частности, компьютерных вирусов). Работая во Всемирной сети, следует помнить о том, что абсолютно все действия фиксируются и протоколируются специальными программными средствами и информация как о законных, так и о незаконных действиях обязательно где-то накапливается. Таким образом, к обмену информацией в Интернете следует подходить как к обычной переписке с использованием почтовых открыток. Информация свободно циркулирует в обе стороны, но в общем случае она доступна всем участникам информационного процесса. Это касается всех служб Интернета, открытых для массового использования. 9 Общие сведения о брандмауэре подключения к Интернету Брандмауэр (Firewall)— это система безопасности, действующая как защитный барьер между сетью и внешним миром. Брандмауэр подключения к Интернету — это программное средство, используемое для настройки ограничений, регулирующих обмен данными между Интернетом и домашней или небольшой офисной сетью. Брандмауэр также защищает одиночные компьютеры, подключенные к Интернету. Описание работы брандмауэра Брандмауэры – программы регистрирующие состояние связи. Такие программы отслеживают все характеристики передаваемого через них трафика и проверяют исходный адрес и адрес назначения в каждом обрабатываемом сообщении. Чтобы оградить частную среду сети от данных, поступающих с общедоступной стороны подключения без запроса, брандмауэр подключения к Интернету ведет таблицу всех исходящих сеансов связи, инициированных с компьютера. В случае одиночного компьютера контролирует его исходящий трафик. Весь входящий трафик из Интернета проверяется по записям таблицы брандмауэра. Этот трафик пропускается на компьютеры сети только в том случае, если в таблице имеется соответствующая запись. Сеансы связи, которые инициируются из источников, находящихся с внешней стороны компьютера, например из Интернета, прекращаются брандмауэром (кроме случаев, если на вкладке Службы сделана запись, разрешающая такое соединение). Брандмауэр не посылает пользователю никаких уведомлений, а просто прерывает передачу данных, которые он не запрашивал; таким образом можно остановить многие распространенные виды атак, например сканирование портов. Уведомления о подобных событиях пришлось бы направлять достаточно часто, что сильно отвлекало бы от работы. Вместо этого брандмауэр может вести журнал безопасности, записывая в него все необходимые сведения о наблюдаемой активности. Брандмауэры делятся на профессиональные и пользовательские. У профессиональных огромное количество ручных настроек, а у пользовательского всё максимально автоматизировано. Пользовательский брандмауэр не может защитить максимально потому, что у каждого пользователя свои запросы, у каждой системы - свои уязвимости, а он защищает от всего в общем (усреднённо). Используйте профессиональные: ZoneAlarm, Outpost, Norton Internet Security. Но настройка займёт много времени. Антивирусные программы Полностью «отсечь» вирусы от вашего компьютера вряд ли удастся, разве что вы удалите из системы дисковод, перестанете работать в Интернет и будете пользоваться только легальным программным обеспечением. Остается другой способ: снабдить вашу операционную систему надежными сторожами — антивирусными программами, которые смогут вовремя распознать и обезвредить вирус. Практически все программы просты и удобны в пользовании, способны отлавливать практически все существующие сегодня группы вирусов. Большинство антивирусов способны не просто проверять по запросу пользователя диск на наличие вирусов, но и вести незаметную проверку всех запускаемых на компьютере файлов. Наконец, все современные антивирусы снабжены механизмом автоматического обновления антивирусных баз данных через Интернет. Антивирусная база данных. Каждый файл имеет в коде особый участок - сигнатуру. У каждого файла он особый. Антивирусная лаборатория, "изловив" образец нового вредоносного кода, дизассемблирует его и выделяет сигнатуру. После этого сигнатура добавляется в специальную базу данных, где хранятся сигнатуры других вирусов. База находится на сервере лаборатории. При обновлении антивирус, установленный на компьютере пользователя (программа- клиент) обновляет базу сигнатур на этом ПК. При сканировании диска движок антивируса сверяет сигнатуру проверяемого файла с базой сигнатур, которых порядка сотен тысяч. Бывает, что при выборе команды "Лечить" антивирус говорит, что лечение невозможно. Вирусы, поражая файл, часто переписывают его код и первичный код не сохраняют. Поэтому изменённый участок кода невозможно восстановить ("вылечить"). В таких случаях следует безжалостно удалять файл. 10 Виды угроз В настоящее время существует огромное количество угроз, которым может подвергнуться ваш компьютер. В данном разделе мы подробнее остановимся на угрозах, блокируемых Антивирусом Касперского: Черви (Worms) Данная категория вредоносных программ для распространения использует в основном уязвимости операционных систем. Название этого класса было дано исходя из способности червей "переползать" с компьютера на компьютер, используя сети и электронную почту. Также благодаря этому многие черви обладают достаточно высокой скоростью распространения. Черви проникают на компьютер, осуществляют поиск сетевых адресов других компьютеров и рассылают по этим адресам свои копии. Помимо сетевых адресов часто используются данные адресной книги почтовых клиентов. Представители этого класса вредоносных программ иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти). Вирусы (Viruses) Программы, которые заражают другие программы – добавляют в них свой код, чтобы получить управление при запуске зараженных файлов. Это простое определение дает возможность выявить основное действие, выполняемое вирусом – заражение. Троянские программы (Trojans) Программы, которые выполняют на поражаемых компьютерах несанкционированные пользователем действия, т.е. в зависимости от каких-либо условий уничтожают информацию на дисках, приводят систему к «зависанию», воруют конфиденциальную информацию и т.д. Данный класс вредоносных программ не является вирусом в традиционном понимании этого термина (т.е. не заражает другие программы или данные); троянские программы не способны самостоятельно проникать на компьютеры и распространяются злоумышленниками под видом «полезного» программного обеспечения. При этом вред, наносимый ими, может во много раз превышать потери от традиционной вирусной атаки. В последнее время наиболее распространенными типами вредоносных программ, портящими компьютерные данные, стали черви. Далее по распространенности следуют вирусы и троянские программы. Некоторые вредоносные программы совмещают в себе характеристики двух или даже трех из перечисленных выше классов. Программы-рекламы (Adware) Программный код, без ведома пользователя включенный в программное обеспечение с целью демонстрации рекламных объявлений. Как правило, программы-рекламы встроены в программное обеспечение, распространяющееся бесплатно. Реклама располагается в рабочем интерфейсе. Зачастую данные программы также собирают и переправляют своему разработчику персональную информацию о пользователе, изменяют различные параметры браузера (стартовые и поисковые страницы, уровни безопасности и т.д.), а также создают неконтролируемый пользователем трафик. Все это может привести как к нарушению политики безопасности, так и к прямым финансовым потерям. Программы-шпионы (Spyware) Программное обеспечение, позволяющее собирать сведения об отдельно взятом пользователе или организации без их ведома. О наличии программ-шпионов на своем компьютере вы можете и не догадываться. Как правило, целью программ-шпионов является: отслеживание действий пользователя на компьютере; сбор информации о содержании жесткого диска; в этом случает чаще всего речь идет о сканировании некоторых каталогов и системного реестра с целью составления списка программного обеспечения, установленного на компьютере; сбор информации о качестве связи, способе подключения, скорости модема и т.д. Потенциально опасные приложения (Riskware) К потенциально опасным относятся приложения, которые не имеют вредоносных функций, но могут являться частью среды разработки вредоносного программного обеспечения или использоваться злоумышленниками в качестве вспомогательных компонентов вредоносных программ. К категории таких программ относятся программы, имеющие бреши и ошибки, а также некоторые утилиты удаленного администрирования, программы автоматического 11 переключения раскладки клавиатуры, IRC-клиенты, FTP-серверы, всевозможные утилиты для остановки процессов или скрытия их работы. Еще одним видом вредоносных программ, являющимся пограничным для таких программ как Adware, Spyware и Riskware, являются программы, встраивающиеся в установленный на компьютере браузер и перенаправляющие трафик. Наверняка вы встречались с подобными программами, если при запросе одного адреса веб-сайта открывался совсем другой. Программы-шутки (Jokes) Программное обеспечение, не причиняющее компьютеру какого-либо прямого вреда, но выводящее сообщения о том, что такой вред уже причинен, либо будет причинен при каких-либо условиях. Такие программы часто предупреждают пользователя о несуществующей опасности, например, выводят сообщения о форматировании диска (хотя никакого форматирования на самом деле не происходит), обнаруживают вирусы в незараженных файлах и т.д. Программы-маскировщики (Rootkit) Утилиты, используемые для сокрытия вредоносной активности. Они маскируют вредоносные программы, чтобы избежать их обнаружения антивирусными программами. Программы-маскировщики модифицируют операционную систему на компьютере и заменяют основные ее функции, чтобы скрыть свое собственное присутствие и действия, которые предпринимает злоумышленник на зараженном компьютере. Прочие опасные программы Программы, созданные для организации DoS-атак на удаленные серверы, взлома других компьютеров, а также являющиеся частью среды разработки вредоносного программного обеспечения. К таким программам относятся хакерские утилиты (Hack Tools), конструкторы вирусов, сканеры уязвимостей, программы для взлома паролей, прочие виды программ для взлома сетевых ресурсов или проникновения в атакуемую систему. Хакерские атаки Хакерские атаки – это действия злоумышленников или вредоносных программ, направленные на захват информационных данных удаленного компьютера, выведение системы из строя или получение полного контроля над ресурсами компьютера. Подробное описание видов атак, блокируемых Антивирусом Касперского, представлено в разделе Некоторые виды интернет-мошенничества Фишинг (Phishing) – вид интернет-мошенничества, заключающийся в рассылке электронных сообщений с целью кражи конфиденциальной информации, как правило, финансового характера. Фишинг-сообщения составляются таким образом, чтобы максимально походить на информационные письма от банковских структур, компаний известных брендов. Письма содержат ссылку на заведомо ложный сайт, специально подготовленный злоумышленниками и являющийся копией сайта организации, якобы от имени которой пришло письмо. На данном сайте пользователю предлагается ввести, например, номер своей кредитной карты и другую конфиденциальную информацию. Дозвон на платные интернет-ресурсы – вид интернет-мошенничества, связанный с несанкционированным использованием платных интернет-ресурсов (чаще всего это веб-сайты порнографического содержания). Установленные злоумышленниками программы (dialers) инициируют модемное соединение с вашего компьютера на платный ресурс, в результате пользователь вынужден оплачивать огромные счета. Навязчивая реклама Навязчивая реклама – это всплывающие окна и рекламные баннеры, открывающиеся при работе с веб-сайтами. Как правило, информация, содержащаяся в них, не бывает полезной. Демонстрация всплывающих окон и баннеров отвлекает пользователя от основных задач, увеличивает объем трафика. Спам (Spam) Спам – это анонимная массовая рассылка нежелательных почтовых сообщений. Так, спамом являются рассылки рекламного, политического и агитационного характера, письма, призывающие помочь кому-нибудь. Отдельную категорию спама составляют письма с предложениями обналичить большую сумму денег или вовлекающие в финансовые пирамиды, а также письма, направленные на кражу паролей и номеров кредитных карт, письма с просьбой переслать знакомым (например, письма счастья) и т.п. Спам существенно увеличивает нагрузку на почтовые серверы и повышает риск потери информации, важной для пользователя.
12 Обнаружение и блокирование данных видов угроз Антивирусом Касперского осуществляется с помощью двух методов: реактивный – метод, основанный на поиске вредоносных объектов с помощью постоянно обновляемой базы сигнатур угроз. Для реализации данного метода необходимо хотя бы одно заражение, чтобы добавить сигнатуру угрозы в базу и распространить обновление баз. проактивный – метод, в отличие от реактивной защиты, строящийся не на анализе кода объекта, а на анализе его поведения в системе. Этот метод нацелен на обнаружение новых угроз, информации о которых еще нет в базах. Применение обоих методов Антивирусом Касперского обеспечивает комплексную защиту вашего компьютера от известных, а также новых угроз. Проактивная защита вашего компьютера Антивирус Касперского защищает не только от известных угроз, но и от новых, информация о которых отсутствует в базах сигнатур угроз. Это обеспечивает специально разработанный компонент - Проактивная защита. Необходимость в проактивной защите назрела с тех пор, как скорость распространения вредоносных программ стала превышать скорость обновления антивирусной защиты, способной обезвредить эти угрозы. Реактивные технологии, на которых построена антивирусная защита, требуют как минимум одного фактического заражения новой угрозой, времени на анализ вредоносного кода, на добавление его в базы сигнатур угроз и на обновление этой базы на компьютерах пользователей. За это время новая угроза может нанести огромный ущерб. Превентивные технологии, на которых построена Проактивная защита Антивируса Касперского, позволяют избежать потери времени и обезвредить новую угрозу еще до того, как она нанесет вред вашему компьютеру. За счет чего это достигается? В отличие от реактивных технологий, где анализ выполняется на основании записей баз сигнатур угроз, превентивные технологии распознают новую угрозу на вашем компьютере по последовательности действий, выполняемой некоторой программой. В поставку Антивируса Касперского включен набор критериев, позволяющих определять, насколько активность той или иной программы опасна. Если в результате анализа активности последовательность действий какой-либо программы вызывает подозрение, Антивирус Касперского применяет действие, заданное правилом для активности подобного рода. Опасная активность определяется по совокупности действий программы. Например, при обнаружении таких действий как самокопирование некоторой программы на сетевые ресурсы, в каталог автозапуска, системный реестр, а также последующая рассылка копий, можно с большой долей вероятности предположить, что это программа – червь. К опасным действиям также относятся: изменения файловой системы; встраивание модулей в другие процессы; скрытие процессов в системе; изменение определенных ключей системного реестра Microsoft Windows. Все опасные операции отслеживаются и блокируются Проактивной защитой. Проактивная защита также отслеживает выполнение всех макросов, запускаемых в приложениях Microsoft Office. В процессе работы Проактивная защита использует набор правил, включенных в поставку приложения, а также сформированных пользователем при работе с приложением. Правило - это набор критериев, определяющих совокупность подозрительных действий и реакцию Антивируса Касперского на них. Отдельные правила предусмотрены для активности приложений, контроля изменений системного реестра, макросов и запускаемых на компьютере программ. Вы можете изменять правила по своему усмотрению, добавляя, удаляя или изменяя их. Правила могут быть запрещающими или разрешающими.
Поделитесь с Вашими друзьями: |