С конца 80-ых начала 90-ых годов проблемы связанные с защитой
информации беспокоят как специалистов в области компьютерной
безопасности так и многочисленных рядовых пользователей персональных
компьютеров. Это связано с глубокими изменениями вносимыми компьютерной
технологией в нашу жизнь. Изменился сам подход к понятию “информация”.
Этот термин сейчас больше используется для обозначения специального
товара который можно купить, продать, обменять на что-то другое и т.д.
При этом стоимость подобного товара зачастую превосходит в десятки, а то
и в сотни раз стоимость самой вычислительной техники, в рамках которой
он функционирует. Естественно, возникает потребность защитить информацию
от несанкционированного доступа, кражи, уничтожения и других преступных
действий. Однако большая часть пользователей не осознает, что постоянно
рискует своей безопасностью и личными тайнами. И лишь немногие хоть
каким - либо образом защищают свои данные. Пользователи компьютеров
регулярно оставляют полностью незащищенными даже такие данные как
налоговая и банковская информация, деловая переписка и электронные
таблицы.
Системные администраторы могут бесконечно усиливать защиту, но способ
обойти ее всегда найдется. Люди в большинстве своем мыслят и действуют
одинаково. То, до чего додумался один человек, додумается и другой, что
один скрыл - другой раскроет. В западной литературе высказывается
предположение проводить различие между термином хакер (haker), которым
предлагается обозначать компьютерного профессионала высокого уровня, не
вовлеченного в противоправную деятельность, и крэкера (cracker) - то
есть хакера, применяющего свои способности для взлома компьютерных
систем с корыстной целью.
Компьютерным преступником может быть любой. Типичный компьютерный
преступник - это не молодой хакер, использующий телефон и домашний
компьютер для получения доступа к большим компьютерам. Типичный
компьютерный преступник - это служащий, которому разрешен доступ к
системе, нетехническим пользователем которой он является. В США
компьютерные преступления, совершенные служащими, составляют 70-80
процентов ежегодного ущерба, связанного с компьютерами. Остальные 20
процентов дают действия нечестных и недовольных сотрудников. И
совершаются они по целому ряду причин:
личная или финансовая выгода
развлечение
месть
попытка добиться расположения кого-либо к себе
самовыражение
случайность
вандализм
Компьютерные преступления
Компьютерные преступления приобрели в странах с развитой
телекоммуникационной инфраструктурой настолько широкое распространение,
что для борьбы с ними в уголовное законодательство были введены
специальные составы преступлений. Однако во всех странах мира отмечается
лавинообразный рост компьютерной преступности. Ежегодный экономический
ущерб от такого рода преступлений только в США составляет около 100
млрд. долларов, причем многие потери не обнаруживаются или о них не
сообщают по причине высокой латентности ( скрытности) данных
преступлений (90%). Данные по России, опубликованные в средствах
массовой информации, менее “эффектны”, но и они настораживают.
В 1993 году в Москве с использованием способов несанкционированного
доступа было совершено покушение на хищение 68 млрд. 309 млн. руб. из
Центробанка России. В начале 90-х годов была зафиксирована попытка
внедрить вирус в технологическую АСУ Игналинской АЭС. В 1996 году было
зафиксировано нарушение функционирования АУС ТП ВАЗа в результате
срабатывания программы типа “логическая бомба”. По информации службы
безопасности РАО “Газпром”, дочерние предприятия концерна столкнулись с
попытками организованной преступности прибегнуть к шантажу и
вымогательству. Это стало возможным, в частности, за счет утечки данных
по техническим каналам, ведения преступниками активного промышленного
шпионажа.
Благодаря стараниям хакеров “электронный взлом” из Интернета в настоящее
время прецедент достаточно характерный, хотя не всегда злонамеренный. В
этой связи компьютерных взломщиков объединяют в несколько групп:
“любознательными” хакерами зачастую являются студенты, “путешествующие”
по Интернету, или специалисты, жаждущие профессионального
самоутверждения - разного рода экспериментаторы и исследователи.
люди, которые имеют конкретные коммерческие, разведывательные или
прочие интересы.
взломщики и диверсанты. Их цель - уничтожить базы данных, парализовать
работу, вывести из строя компьютерные сети.
В последнее время появилась новая разновидность преступности - внедрение
компьютерных вирусов, которых выявлено уже более трехсот. Опубликованные
в прессе результаты исследований, проведенных специалистами, позволяют
составить примерный социологический портрет современного хакера. Возраст
правонарушителей колеблется в широких границах - от 15 до 45 лет, причем
на момент совершения преступления у трети возраст не превышал 20 лет.
Свыше 80% преступников в компьютерной сфере - мужчины, абсолютное
большинство которых имело высшее и среднее специальное образование.
Однако, согласно статистики, профессиональными программистами из каждой
тысячи компьютерных преступлений совершено только семь. Мотивы
преступлений - самые разнообразные: корыстные соображения (66%),
шпионаж, диверсии (17%), исследовательский интерес (7%), хулиганство и
озорство (5%), месть (5%).
Компьютерные преступления делятся на семь основных категорий, так или
иначе связанных с хакерством: финансовые кражи, саботаж, кражи
аппаратного обеспечения, кражи программного обеспечения, кражи
информации и электронный шпионаж. А седьмое “преступление” -
компьютерное хакерство.
Денежные кражи
Финансовые кражи происходят, когда компьютерные записи изменяются в
целях присвоения чужих денег. Часто это делается с помощью программы,
направляющей деньги на конкретный банковский счет, обычно с помощью
техники “салями”.
“Салями” - это метод, предполагающий кражи небольших сумм в течение
длительного времени в надежде, что это не будет замечено. Воры
перепрограммируют банковский или какой-либо другой компьютер так, чтобы
деньги поступали на липовые счета.
Например, на счете может храниться 713.14863, где 863 случайные цифры,
так как при умножении учитываются все знаки. Обычно компьютер
показывает, что у данного лица в банке 713.15$, округляя 4 до 5. Однако
компьютер, запрограммированный с “салями” , отделяет эти экстра-числа и
помещает их на отдельные счета. И теперь человек имеет только 713.14$, и
вряд ли кто это заметит. Компьютер сам не может производить деньги, он
может только перевести легальные деньги на нелегальный счет. Такие кражи
довольно трудно обнаружить. Как только на счете у вора скапливается
довольно большая сумма, он снимает деньги со счета и, в большинстве
случаев, удаляется вместе с ними. Многие воры пытались использовать эту
форму ограбления банка, и многие были пойманы, но сейчас это может
сделать каждый. Выявить применение подобной техники можно так на
компьютере создается список всех счетов с указанием, сколько раз в
течение одного или нескольких дней к счету обращались. Затем любой счет,
который затребывался слишком часто, проверяется, чтобы установить,
сколько денег с него снималось во время каждого обращения. Если это
сумма небольшая - значит кому-то повезло. Но ошибка этих грабителей
заключается в том, что вместо того, чтобы перепрограммировать компьютер
для передачи небольших сумм на счет, им следовало просто вычитать эти
деньги и следить за тем, сколько денег соберется в области, отдельной от
файлов со счетами. Затем изменяются те части программы, которые
распечатывают общее количество банковских вкладов, для учета скрытой
суммы, чтобы эти деньги не казались утерянными. Когда спрятанное число
достигает определенной величины, только тогда его следует переводить на
счет вора, причем переводящиеся суммы должны равняться случайным
величинам, дабы избежать подозрений. Такие действия предполагают наличие
доступа к компьютеру. Обычно их совершают сотрудники банка. Если такую
кражу совершает сотрудник с ограниченным уровнем доступа или не
сотрудник банка, то необходим взлом.
Саботаж
Компьютерный саботаж - это физическое разрушение аппаратного или
программного обеспечения, либо искажение или уничтожение содержащейся в
компьютере информации. Причиной саботажа может являться желание
избавиться от конкурента или получить страховку. Компьютерное хакерство
лишь косвенно связано с саботажем. Обратная социальная инженерия
использует нечто вроде саботажа, но на самом деле это всего лишь
временный и легко устраняемый вывод компьютера из строя. Компьютерные
вандалы часто подвергают саботажу информацию, хранящуюся в компьютерах,
сперва использовав хакерские методы получения доступа к ним. Но не стоит
путать вандалов и других приверженцев саботажа данных с хакерами. Эти
люди вводят ложную информацию в компьютерные системы, так или иначе
повреждая базы данных.
Другие виды краж
Могут включать в себя кражи аппаратного обеспечения или самого
компьютера и периферии, а также воровство компьютерных разработок. Они
относятся к хакерству постольку, поскольку украденный компьютер может
использоваться для получения кодов доступа. В случае компьютерного
пиратства хакер может тайно читать электронную почту или файлы
разработчика, пытаясь украсть новые идеи. Кражи программного
обеспечения, или программное пиратство, - это нелегальное копирование
программ, защищенных авторскими правами. Хакеры часто делают для себя
копии программ, найденных в компьютерной системе, чтобы понять, как они
работают. Что касается краж аппаратного обеспечения, здесь присутствует
желание догнать конкурента в области новых разработок программ. Кражи
информации включают кражи кредитных карточек, результатов лабораторных
исследований, данные о пациентах или клиентах и вообще любых данных,
обладающих потенциальной ценностью. Электронным шпионажем называется
продажа такой информации третьей стороне, когда хакер начинает шпионить
на другую компанию или страну. В обоих случаях для краж информации, а
иногда и для установления контакта со шпионским агентством
устанавливается хакерская техник.
Хакерство
Хакеры способны совершать любые из выше вышеперечисленных преступлений,
но многие люди занимаются взломом чужих компьютерных систем из-за
стремления к знаниям - это так называемое “чистое” хакерство. Все же
многие хакеры, даже лучшие из них. внесли свой вклад в создание плохой
репутации хакерства, так как ими руководили другие мотивы нежели
получение знаний. Встречаются и хакеры-разрушители, и такие, которые
просто не могут вовремя остановиться и выйти из игры.
Вирусы и борьба с ними.
Что такое "компьютерный вирус"?
Первые исследования саморазмножающихся искусственных конструкций
проводились в середине нынешнего столетия. В работах фон Неймана, Винера
и других авторов дано определение и проведен математический анализ
конечных автоматов, в том числе и самовоспроизводящихся. Термин
“компьютерный вирус” появился позднее - официально считается, что его
впервые употребил сотрудник Лехайского университета (США) Ф.Коэн в 1984
г. на 7-й конференции по безопасности информации, проходившей в США. С
тех пор прошло немало времени, острота проблемы вирусов многократно
возросла, однако строгого определения, что же такое компьютерный вирус,
так и не дано, несмотря на то, что попытки дать такое определение
предпринимались неоднократно.
Основная трудность, возникающая при попытках дать строгое определение
вируса, заключается в том, что практически все отличительные черты
вируса (внедрение в другие объекты, скрытность, потенциальная опасность
и проч.) либо присущи другим программам, которые никоим образом вирусами
не являются, либо существуют вирусы, которые не содержат указанных выше
отличительных черт (за исключением возможности распространения).
Например, если в качестве отличительной характеристики вируса
принимается скрытность, то легко привести пример вируса, не скрывающего
своего распространения. Такой вирус перед заражением любого файла
выводит сообщение, гласящее, что в компьютере находится вирус и этот
вирус готов поразить очередной файл, затем выводит имя этого файла и
запрашивает разрешение пользователя на внедрение вируса в файл.
Если в качестве отличительной черты вируса приводится возможность
уничтожения им программ и данных на дисках, то в качестве примера к
данной отличительной черте можно привести десятки совершенно безобидных
вирусов, которые кроме своего распространения ничем больше не
отличаются.
Основная же особенность компьютерных вирусов - возможность их
самопроизвольного внедрения в различные объекты операционной системы -
присуща многим программам, которые не являются вирусами.
Второй же трудностью, возникающей при формулировке определения
компьютерного вируса является то, что данное определение должно быть
привязано к конкретной операционной системе, в которой этот вирус
распространяется. Например, теоретически могут существовать операционные
системы, в которых наличие вируса просто невозможно. Таким примером
может служить система, где запрещено создавать и изменять области
выполняемого кода, т.е. запрещено изменять объекты, которые либо уже
выполняются, либо могут выполняться системой при каких-либо условиях.
Поэтому представляется возможным сформулировать только обязательное
условие для того, чтобы некоторая последовательность выполняемого кода
являлась вирусом.
Обязательным свойством компьютерного вируса является возможность
создавать свои дубликаты (не обязательно совпадающие с оригиналом) и
внедрять их в вычислительные сети и/или файлы, системные области
компьютера и прочие выполняемые объекты. При этом дубликаты сохраняют
способность к дальнейшему распространению.
История распространения вирусов.
Каждый год приносит новые технологии, в том числе, и в мире компьютерных
вирусов. Так, в 1995 году появился первый макровирус, заражающий
документы MS Word. В 1996 появились первые Win32-вирусы для Windows 95.
В 1997 г. вирусы впервые стали использовать для распространения
сообщения электронной почты и появились первые вирусы, работающие в
защищенном режиме процессоров Intel (впервые этот режим появился в
i286). В 1998 г. был создан первый вирус, нарушающий работу аппаратной
части компьютеров. Это был Win95.CIH, который "сработал" 26 апреля 1999
г. на миллионах компьютеров по всему миру. В России этот вирус стал
известен под именем "Чернобыль". В самом конце 1998 г. появился первый
вирус для Windows NT.
В 1999 г. получили массовое распространение e-mail-черви (вирусные
программы-черви, которые используют для распространения сообщения
электронной почты). Эпидемия вируса Win95.Spanska.10000 ("Нарру99")
началась 1 января 1999 г. и продолжается до сих пор. Другой e-mail червь
Melissa в марте 1999 г. парализовал работу нескольких тысяч почтовых
серверов в Европе и Америке. По масштабу мартовскую эпидемию Meliss-ы
можно сравнить с легендарным "червем Морриса", который в ноябре 1988 г.
парализовал работу нескольких крупных компьютерных сетей в Америке.
Также в 1999 г. стали очень популярны троянские программы, дающие
удаленный доступ к инфицированному компьютеру через Интернет и
позволяющие воровать информацию, например, пароли. Троянские системы
семейств Back Orifice, NetBus, Trojan Stealth можно свободно найти в
Интернете, чем и пользуются злоумышленники.
Все эти "новинки" заставляют постоянно совершенствовать антивирусные
программы.
Кто же пишет вирусы?
Основную их массу создают студенты и школьники, которые только что
изучили язык ассемблера, хотят попробовать свои силы, но не могут найти
для них более достойного применения. Отраден тот факт, что значительная
часть таких вирусов их авторами часто не распространяется, и вирусы
через некоторое время “умирают” вместе с дискетами, на которых хранятся.
Такие вирусы пишутся скорее всего только для самоутверждения.
Вторую группу составляют также молодые люди (чаще - студенты), которые
еще не полностью овладели искусством программирования, но уже решили
посвятить себя написанию и распространению вирусов. Единственная
причина, толкающая подобных людей на написание вирусов, это комплекс
неполноценности, который проявляет себя в компьютерном хулиганстве.
Из-под пера подобных “умельцев” часто выходят либо многочисленные
модификации “классических” вирусов, либо вирусы крайне примитивные и с
большим числом ошибок. Значительно облегчилась жизнь подобных
вирусописателей после выхода конструкторов вирусов, при помощи которых
можно создавать новые вирусы даже при минимальных знаниях об
операционной системе и ассемблере, или даже вообще не имея об этом
никакого представления. Их жизнь стала еще легче после появления
макро-вирусов, поскольку вместо сложного языка Ассемблер для написания
макро-вирусов достаточно изучить довольно простой Бейсик.
Став старше и опытнее, но так и не повзрослев, многие из подобных
вирусописателей попадают в третью, наиболее опасную группу, которая
создает и запускает в мир “профессиональные” вирусы. Эти очень тщательно
продуманные и отлаженные программы создаются профессиональными, часто
очень талантливыми программистами. Такие вирусы нередко используют
достаточно оригинальные алгоритмы, недокументированные и мало кому
известные способы проникновения в системные области данных.
“Профессиональные” вирусы часто выполнены по технологии “стелс” и (или)
являются полиморфик-вирусами, заражают не только файлы, но и загрузочные
сектора дисков, а иногда и выполняемые файлы Windows и OS/2.
Несколько отдельно стоит четвертая группа авторов вирусов -
“исследователи”. Эта группа состоит из довольно сообразительных
программистов, которые занимаются изобретением принципиально новых
методов заражения, скрытия, противодействия антивирусам и т.д. Они же
придумывают способы внедрения в новые операционные системы, конструкторы
вирусов и полиморфик-генераторы. Эти программисты пишут вирусы не ради
собственно вирусов, а скорее ради “исследования” потенциалов
“компьютерной фауны”.
Часто авторы подобных вирусов не запускают свои творения в жизнь, однако
очень активно пропагандируют свои идеи через многочисленные электронные
издания, посвященные созданию вирусов. При этом опасность от таких
“исследовательских” вирусов не падает - попав в руки “профессионалов” из
третьей группы, новые идеи очень быстро реализуются в новых вирусах.
Откуда берутся вирусы?
Основным источником вирусов на сегодняшний день является глобальная сеть
Internet. Наибольшее число заражений вирусом происходит при обмене
письмами в форматах Word/Office97. Пользователь зараженного
макро-вирусом редактора, сам того не подозревая, рассылает зараженные
письма адресатам, которые в свою очередь отправляют новые зараженные
письма и т.д.
Предположим, что пользователь ведет переписку с пятью адресатами, каждый
из которых также переписывается с пятью адресатами. После посылки
зараженного письма все пять компьютеров, получившие его, оказываются
зараженными. Затем с каждого вновь зараженного компьютера отправляется
еще пять писем. Одно уходит назад на уже зараженный компьютер, а четыре
— новым адресатам.
Таким образом, на втором уровне рассылки заражено уже 1+5+20=26
компьютеров. Если адресаты сети обмениваются письмами раз в день, то к
концу рабочей недели (за 5 дней) зараженными окажутся как минимум
1+5+20+80+320=426 компьютеров. Нетрудно подсчитать, что за 10 дней
зараженными оказываются более ста тысяч компьютеров! Причем каждый день
их количество будет учетверяться. Описанный случай распространения
вируса является наиболее часто регистрируемым антивирусными компаниями.
Нередки случаи, когда зараженный файл-документ или таблица Excel по
причине недосмотра попадает в списки рассылки коммерческой информации
какой-либо крупной компании. В этом случае страдают не пять, а сотни или
даже тысячи абонентов таких рассылок, которые затем разошлют зараженные
файлы десяткам тысячам своих абонентов.
Электронные конференции, файл-серверы ftp и BBS
Файл-серверы “общего пользования” и электронные конференции также служат
одним из основных источников распространения вирусов. Практически каждую
неделю приходит сообщение о том, что какой-либо пользователь заразил
свой компьютер вирусом, который был снят с BBS, ftp-сервера или из
какой-либо электронной конференции. При этом часто зараженные файлы
“закладываются” автором вируса на несколько BBS/ftp или рассылаются по
нескольким конференциям одновременно, и эти файлы маскируются под новые
версии какого-либо программного обеспечения (иногда — под новые версии
антивирусов). В случае массовой рассылки вируса по файл-серверам ftp/BBS
пораженными практически одновременно могут оказаться тысячи компьютеров,
однако в большинстве случаев “закладываются” DOS- или Windows-вирусы,
скорость распространения которых в современных условиях значительно
ниже, чем макро-вирусов. По этой причине подобные инциденты практически
никогда не кончаются массовыми эпидемиями, чего нельзя сказать про
макро-вирусы.
Локальные сети
Третий путь “быстрого заражения” — локальные сети. Если не принимать
необходимых мер защиты, то зараженная рабочая станция при входе в сеть
заражает один или несколько служебных файлов на сервере (в случае Novell
NetWare — LOGIN.COM) На следующий день пользователи при входе в сеть
запускают зараженные файлы. Вместо служебного файла LOGIN.COM может
также выступать различное программное обеспечение, установленное на
сервере, стандартные документы-шаблоны или Excel-таблицы, применяемые в
фирме, и т.д.
Пиратское программное обеспечение
Нелегальные копии программного обеспечения, как это было всегда,
являются одной из основных “зон риска”. Часто пиратские копии на
дискетах и даже на CD-дисках содержат файлы, зараженные самыми
разнообразными типами вирусов.
Персональные компьютеры “общего пользования”
Опасность представляют также компьютеры, установленные в учебных
заведениях. Если один из студентов принес на своих дискетах вирус и
заразил какой-либо учебный компьютер, то очередную “заразу” получат и
дискеты всех остальных студентов, работающих на этом компьютере. То же
относится и к домашним компьютерам, если на
них работает более одного человека. Нередки ситуации, когда сын-студент
(или дочь), работая на многопользовательском компьютере в институте,
перетаскивают оттуда вирус на домашний компьютер, в результате чего
вирус попадает в компьютерную сеть фирмы папы или мамы.
Ремонтные службы
Достаточно редко, но до сих пор вполне реально заражение компьютера
вирусом при его ремонте или профилактическом осмотре. Ремонтники — тоже
люди, и некоторым из них свойственно наплевательское отношение к
элементарным правилам компьютерной безопасности. Однажды забыв закрыть
защиту от записи на одном из своих флоппи-дисков, такой “маэстро”
довольно быстро разнесет заразу по машинам своей клиентуры и, скорее
всего, потеряет ее (клиентуру).
Выбор системы защиты
$ из дома. То же относится и к защите компьютерной системы. Все, что
требуется – это готовность выполнять текущий контроль и совсем немного
технических знаний.
Любая компьютерная система не является идеальной, то есть полностью не
может обеспечить безопасность данных на вашем ПК. Чтобы на 100% защитить
данные от попадания в чужие руки надо их уничтожить. А чтобы сохранить
содержимое вашего компьютера в целости надо найти компромисс между
важностью защищаемых вами данных и неудобствами, связанными с
использованием мер защиты. Меры защиты - это меры, вводимые
руководством, для обеспечения безопасности информации - административные
руководящие документы (приказы, положения, инструкции), аппаратные
устройства или дополнительные программы - основной целью которых
является предотвратить преступления и злоупотребления, не позволив им
произойти. Меры защиты могут также выполнять функцию ограничения,
уменьшая размер ущерба от преступления.
Осведомленность конечного пользователя о мерах безопасности обеспечивает
четыре уровня защиты компьютерных и информационных ресурсов:
Предотвращение - только авторизованный персонал имеет доступ к
информации и технологии
Обнаружение - обеспечивается раннее обнаружение преступлений и
злоупотреблений, даже если механизмы защиты были обойдены .
Ограничение - уменьшается размер потерь, если преступление все-таки
произошло, несмотря на меры по его предотвращению и обнаружению
Восстановление - обеспечивается эффективное восстановление информации
при наличии документированных и проверенных планов по восстановлению.
Выбор средства защиты должен основываться на обеспечении достаточной
защищенности и в то же время не доставлять неудобств. Каждый
пользователь должен произвести собственный анализ риска и решить какие
меры защиты наиболее подходят вам в данном случае. Анализ риска для
персональных компьютеров можно разделить на три класса: анализ
автономных систем, то есть одного компьютера, анализ локальных систем и
анализ систем удаленного доступа имеющих связь с глобальной сетью (напр.
Internet).
Использование паролей
Идея использования паролей заключается в следующем: если кто-либо
попробует обратиться к вашим данным или аппаратным средствам, то пароли
должны создать собой массу неудобств. Чем сложнее будет угадать или
“взломать” используемый вами пароль, тем в большей безопасности будут
ваши данные. Длина пароля существенно влияет на уровень защиты. Личные
номера на сегодняшний день являются одним из наименее безопасных паролей
широкого использования (напр. Кредитные карты для кассовых аппаратов АТМ
или телефонные карты). В личных номерах могут использоваться цифры от 0
до 9, то есть номер может иметь десять тысяч вариаций. Этого достаточно
если речь идет о человеке стоящем возле АТМ и набирающего код наугад, но
совсем не много если речь идет о компьютере использующем лобовой метод
решения. При “лобовом” нападении проверяются все возможные комбинации
паролей до тех пор пока одна из них не сработает. При увеличении длины
пароля сложность лобового нападения возрастает так как это займет больше
времени. Конечно, многие банки используют не только четырехразрядный код
(PIN), но и другие методы для повышения безопасности, например,
видеокамеры и АТМ, которые блокируют карточки. При этом меры защиты в
каждом банке сильно отличаются. Большинство банков также оказывают
следующую услугу: вы можете позвонить в банк, набрать номер карточки и
личный номер и узнать состояние текущего счета. Этот сценарий делает
уязвимым ваш личный номер (PIN) – некто может засесть за телефон и
пробовать разные варианты.
Четырехразрядный пароль – ваш PIN – имеет всего 9999 возможных
комбинаций. Однако большинство компьютерных паролей длиннее и кроме
чисел 1-9 могу содержать символы. Четырехразрядный пароль, в котором
используются числа и символы, расшифровать сложнее – он может содержать
1679616 уникальных комбинаций. Вот формула для вычисления возможного
количества комбинаций символов: c=xy, где с – число возможных комбинаций
, x – количество различных символов используемых в каждой позиции
пароля, y – число символов пароля. Например, при использовании PINа
c=104. Также некоторые пароли чувствительны к регистру и включают в себя
знаки препинания, так что число возможных комбинаций ещё возрастает.
Кроме паролей используемых для обращения к местной сети, Internet и
т.д., у пользователей компьютеров есть ряд защитных мер включающих
пароли. К ним относятся основанная на BIOS защита, требующая ввести
пароль при загрузке компьютера, специальные защитные программы,
блокирующие доступ к отдельным файлам, и защищенные паролем архивные
ZIP-файлы.
Защита электронной почты
Подавляющее большинство электронной почты посылается через Internet или
другие глобальные сети в виде простого текста, который можно прочесть.
Закон о конфиденциальности электронных коммуникаций приравнивает вашу
электронную почту к обычному телефонному звонку. Вы должны понимать, что
системные администраторы имеют все необходимые средства для чтения
электронной почты на своей системе. Иногда им даже необходимо
просматривать электронную почту, чтобы удостовериться, что система
работает нормально.
Хакеры и любопытные отличаются тем, что владеют различными способами
получения доступа к вашей почте, но обе эти категории не могут читать
вашу почту, если она зашифрована. Если вам необходимо защитить секретную
информацию используйте PGP (Pretty Good Privacy) для шифрования почты
перед отправлением.
Использование шифрования – криптография.
Криптографические методы защиты информации в автоматизированных
системах могут применяться как для защиты информации, обрабатываемой в
ЭВМ или хранящейся в различного типа ЗУ, так и для закрытия информации,
передаваемой между различными элементами системы по линиям связи. Но
почему проблема использования криптографических методов в информационных
системах (ИС) стала в настоящий момент особо актуальна?
С одной стороны, расширилось использование компьютерных сетей, в
частности глобальной сети Интернет, по которым передаются большие объемы
информации государственного, военного, коммерческого и частного
характера, не допускающего возможность доступа к ней посторонних лиц. С
другой стороны, появление новых мощных компьютеров, технологий сетевых
и нейронных вычислений сделало возможным дискредитацию криптографических
систем еще недавно считавшихся практически не раскрываемыми.
Криптография дает возможность преобразовать информацию таким образом,
что ее прочтение (восстановление) возможно только при знании ключа.
Процесс криптографического закрытия данных может осуществляться как
программно, так и аппаратно. Аппаратная реализация отличается
существенно большей стоимостью, однако ей присущи и преимущества:
высокая производительность, простота, защищенность и т.д. Программная
реализация более практична, допускает известную гибкость в
использовании.
Для современных криптографических систем защиты информации
сформулированы следующие общепринятые требования:
зашифрованное сообщение должно поддаваться чтению только при наличии
ключа;
число операций, необходимых для определения использованного ключа
шифрования по фрагменту шифрованного сообщения и соответствующего ему
открытого текста, должно быть не меньше общего числа возможных ключей;
число операций, необходимых для расшифровывания информации путем
перебора всевозможных ключей должно иметь строгую нижнюю оценку и
выходить за пределы возможностей современных компьютеров (с учетом
возможности использования сетевых вычислений);
знание алгоритма шифрования не должно влиять на надежность защиты;
незначительное изменение ключа должно приводить к существенному
изменению вида зашифрованного сообщения даже при использовании одного и
того же ключа;
структурные элементы алгоритма шифрования должны быть неизменными;
дополнительные биты, вводимые в сообщение в процессе шифрования, должен
быть полностью и надежно скрыты в шифрованном тексте;
длина шифрованного текста должна быть равной длине исходного текста;
не должно быть простых и легко устанавливаемых зависимостью между
ключами, последовательно используемыми в процессе шифрования;
любой ключ из множества возможных должен обеспечивать надежную защиту
информации;
алгоритм должен допускать как программную, так и аппаратную реализацию,
при этом изменение длины ключа не должно вести к качественному ухудшению
алгоритма шифрования.
Наиболее простой критерий эффективности криптографических систем -
вероятность раскрытия ключа или мощность множества ключей. По сути это
то же самое, что и криптостойкость. Для ее численной оценки можно
использовать также и сложность раскрытия шифра путем перебора всех
ключей.
Антивирусные программы.
Способы противодействия компьютерным вирусам можно разделить на
несколько групп: профилактика вирусного заражения и уменьшение
предполагаемого ущерба от такого заражения; методика использования
антивирусных программ, в том числе обезвреживание и удаление известного
вируса; способы обнаружения и удаления неизвестного вируса.
Наиболее эффективны в борьбе с компьютерными вирусами антивирусные
программы. Современные антивирусные программы представляют собой
многофункциональные продукты, сочетающие в себе как превентивные,
профилактические средства, так и средства лечения вирусов и
восстановления данных.
Классификация Антивирусов
Сканеры
Принцип работы антивирусных сканеров основан на проверке файлов,
секторов и системной памяти и поиске в них известных и новых
(неизвестных сканеру) вирусов. Для поиска известных вирусов используются
так называемые “маски”. Маской вируса является некоторая постоянная
последовательность кода, специфичная для этого конкретного вируса. Если
вирус не содержит постоянной маски, или длина этой маски недостаточно
велика, то используются другие методы. Примером такого метода является
алгоритмический язык, описывающий все возможные варианты кода, которые
могут встретиться при заражении подобного типа вирусом. Такой подход
используется некоторыми антивирусами для детектирования
полиморфик-вирусов.
Во многих сканерах используются также алгоритмы “эвристического
сканирования”, т.е. анализ последовательности команд в проверяемом
объекте, набор некоторой статистики и принятие решения (“возможно
заражен” или “не заражен”) для каждого проверяемого объекта. Поскольку
эвристическое сканирование является во многом вероятностным методом
поиска вирусов, то на него распространяются многие законы теории
вероятностей. Например, чем выше процент обнаруживаемых вирусов, тем
больше количество ложных срабатываний.
Сканеры также можно разделить на две категории — “универсальные” и
“специализированные”. Универсальные сканеры рассчитаны на поиск и
обезвреживание всех типов вирусов вне зависимости от операционной
системы, на работу в которой рассчитан сканер. Специализированные
сканеры предназначены для обезвреживания ограниченного числа вирусов или
только одного их класса, например макро-вирусов. Специализированные
сканеры, рассчитанные только на макро-вирусы, часто оказываются наиболее
удобным и надежным решением для защиты систем документооборота в средах
MS Word и MS Excel.
Сканеры также делятся на “резидентные” (мониторы), производящие
сканирование “на-лету”, и “нерезидентные”, обеспечивающие проверку
системы только по запросу. Как правило, “резидентные” сканеры
обеспечивают более надежную защиту системы, поскольку они немедленно
реагируют на появление вируса, в то время как “нерезидентный” сканер
способен опознать вирус только во время своего очередного запуска.
К достоинствам сканеров всех типов относится их универсальность, к
недостаткам — размеры антивирусных баз, которые сканерам приходится
“таскать за собой”, и относительно небольшую скорость поиска вирусов.
CRC-сканеры
Принцип работы CRC-сканеров основан на подсчете CRC-сумм (контрольных
сумм) для присутствующих на диске файлов/системных секторов. Эти
CRC-суммы затем сохраняются в базе данных антивируса, как, впрочем, и
некоторая другая информация: длины файлов, даты их последней модификации
и т.д. При последующем запуске CRC-сканеры сверяют данные, содержащиеся
в базе данных, с реально подсчитанными значениями. Если информация о
файле, записанная в базе данных, не совпадает с реальными значениями, то
CRC-сканеры сигнализируют о том, что файл был изменен или заражен
вирусом.
CRC-сканеры, использующие анти-стелс алгоритмы, являются довольно
сильным оружием против вирусов: практически 100% вирусов оказываются
обнаруженными почти сразу после их появления на компьютере. Однако у
этого типа антивирусов есть врожденный недостаток, который заметно
снижает их эффективность. Этот недостаток состоит в том, что CRC-сканеры
не способны поймать вирус в момент его появления в системе, а делают это
лишь через некоторое время, уже после того, как вирус разошелся по
компьютеру. CRC-сканеры не могут определить вирус в новых файлах (в
электронной почте, на дискетах, в файлах, восстанавливаемых из backup
или при распаковке файлов из архива), поскольку в их базах данных
отсутствует информация об этих файлах. Более того, периодически
появляются вирусы, которые используют эту “слабость” CRC-сканеров,
заражают только вновь создаваемые файлы и остаются, таким образом,
невидимыми для них.
Блокировщики
Антивирусные блокировщики — это резидентные программы, перехватывающие
“вирусо-опасные” ситуации и сообщающие об этом пользователю. К
“вирусо-опасным” относятся вызовы на открытие для записи в выполняемые
файлы, запись в boot-сектора дисков или MBR винчестера, попытки программ
остаться резидентно и т.д., то есть вызовы, которые характерны для
вирусов в моменты из размножения.
К достоинствам блокировщиков относится их способность обнаруживать и
останавливать вирус на самой ранней стадии его размножения, что, кстати,
бывает очень полезно в случаях, когда давно известный вирус постоянно
“выползает неизвестно откуда”. К недостаткам относятся существование
путей обхода защиты блокировщиков и большое количество ложных
срабатываний, что, видимо, и послужило причиной для практически полного
отказа пользователей от подобного рода антивирусных программ (мне,
например, неизвестно ни об одном блокировщике для Windows95/NT — нет
спроса, нет и предложения).
Необходимо также отметить такое направление антивирусных средств, как
антивирусные блокировщики, выполненные в виде аппаратных компонентов
компьютера (“железа”). Наиболее распространенной является встроенная в
BIOS защита от записи в MBR винчестера. Однако, как и в случае с
программными блокировщиками, такую защиту легко обойти прямой записью в
порты контроллера диска, а запуск DOS-утилиты FDISK немедленно вызывает
“ложное срабатывание” защиты.
Существует несколько более универсальных аппаратных блокировщиков, но к
перечисленным выше недостаткам добавляются также проблемы совместимости
со стандартными конфигурациями компьютеров и сложности при их установке
и настройке. Все это делает аппаратные блокировщики крайне непопулярными
на фоне остальных типов антивирусной защиты.
Иммунизаторы
Иммунизаторы делятся на два типа: иммунизаторы, сообщающие о заражении,
и иммунизаторы, блокирующие заражение каким-либо типом вируса. Первые
обычно записываются в конец файлов (по принципу файлового вируса) и при
запуске файла каждый раз проверяют его на изменение. Недостаток у таких
иммунизаторов всего один, но он летален: абсолютная неспособность
сообщить о заражении стелс-вирусом. Поэтому такие иммунизаторы, как и
блокировщики, практически не используются в настоящее время.
Второй тип иммунизации защищает систему от поражения вирусом какого-то
определенного вида. Файлы на дисках модифицируются таким образом, что
вирус принимает их за уже зараженные (пример — печально известная строка
“MsDos”, предохраняющая от ископаемого вируса “Jerusalem”). Для защиты
от резидентного вируса в память компьютера заносится программа,
имитирующая копию вируса. При запуске вирус натыкается на нее и считает,
что система уже заражена.
Такой тип иммунизации не может быть универсальным, поскольку нельзя
иммунизировать файлы от всех известных вирусов: одни вирусы считают уже
зараженными файлы, если время создания файла содержит метку 62 секунды,
а другие — 60 секунд. Однако несмотря на это, подобные иммунизаторы в
качестве полумеры могут вполне надежно защитить компьютер от нового
неизвестного вируса вплоть до того момента, когда он будет определяться
антивирусными сканерами.
Если же на компьютере действительно найден вирус, то надо сделать
следующее:
1. В случае обнаружения файлового вируса, если компьютер подключен к
сети, необходимо отключить его от сети и проинформировать системного
администратора. Если вирус еще не проник в сеть, это защитит сервер и
другие рабочие станции от проникновения вируса. Если же вирус уже
поразил сервер, то отключение от сети не позволит ему вновь проникнуть
на компьютер после его лечения. Подключение к сети возможно лишь после
того, как будут вылечены все сервера и рабочие станции.
При обнаружении загрузочного вируса отключать компьютер от сети не
следует: вирусы этого типа по сети не распространяются (естественно,
кроме файлово-загрузочных вирусов).
Если произошло заражение макро-вирусом вместо, отключения от сети
достаточно на период лечения убедиться в том, что соответствующий
редактор (Word/ Excel) неактивен ни на одном компьютере.
2. Если обнаружен файловый или загрузочный вирус, следует убедиться в
том, что вирус либо нерезидентный, либо резидентная часть вируса
обезврежена: при запуске некоторые (но не все) антивирусы автоматически
обезвреживают резидентные вирусы в памяти. Удаление вируса из памяти
необходимо для того, чтобы остановить его распространение. При
сканировании файлов антивирусы открывают их, многие из резидентных
вирусов перехватывают это событие и заражают открываемые файлы. В
результате большая часть файлов окажется зараженной, поскольку вирус не
удален из памяти. То же может произойти и в случае загрузочных вирусов —
все проверяемые дискеты могут оказаться зараженными.
”), поэтому также следует проверить в настройках BIOS пункт
“последовательность загрузки A: C:”, чтобы гарантировать загрузку DOS с
системной дискеты, а не с зараженного винчестера.
Помимо резидентности/нерезидентности полезно ознакомиться и с другими
характеристиками вируса: типами заражаемых вирусом файлов, проявлениями
и прочее. Единственный известный мне источник подробной информации
данного рода практически обо всех известных вирусах — “Энциклопедия
вирусов AVP”.
3. При помощи антивирусной программы нужно восстановить зараженные файлы
и затем проверить их работоспособность. Перед лечением или одновременно
с ним - создать резервные копии зараженных файлов и распечатать или
сохранить где-либо список зараженных файлов (log-файл антивируса). Это
необходимо для того, чтобы восстановить файлы, если лечение окажется
неуспешным из-за ошибки в лечащем модуле антивируса либо по причине
неспособности антивируса лечить данный вирус. В этом случае придется
прибегнуть к помощи какого-либо другого антивируса.
Гораздо надежнее, конечно, восстановить зараженные файлы из backup-копии
(если она есть), однако все равно потребуются услуги антивируса — вдруг
не все копии вируса окажутся уничтожены, или если файлы в backup-копии
также заражены.
Следует отметить, что качество восстановления файлов многими
антивирусными программами оставляет желать лучшего. Многие популярные
антивирусы частенько необратимо портят файлы вместо их лечения. Поэтому
если потеря файлов нежелательна, то выполнять перечисленные выше пункты
следует в полном объеме.
В случае загрузочного вируса необходимо проверить все дискеты независимо
от того, загрузочные они (т.е. содержат файлы DOS) или нет. Даже
совершенно пустая дискета может стать источником распространения вируса
— достаточно забыть ее в дисководе и перезагрузить компьютер (если,
конечно же, в BIOS Setup загрузочным диском отмечен флоппи-диск)
Помимо перечисленных выше пунктов необходимо обращать особое внимание на
чистоту модулей, сжатых утилитами типа LZEXE, PKLITE или DIET, файлов в
архивах (ZIP, ARC, ICE, ARJ и т.д.) и данных в самораспаковывающихся
файлах, созданных утилитами типа ZIP2EXE. Если случайно упаковать файл,
зараженный вирусом, то обнаружение и удаление такого вируса без
распаковки файла практически невозможно. В данном случае типичной будет
ситуация, при которой все антивирусные программы, неспособные
сканировать внутри упакованных файлов, сообщат о том, что от вирусов
очищены все диски, но через некоторое время вирус появится опять.
Штаммы вируса могут проникнуть и в backup-копии программного обеспечения
при обновлении этих копий. Причем архивы и backup-копии являются
основными поставщиками давно известных вирусов. Вирус может годами
“сидеть” в дистрибутивной копии какого-либо программного продукта и
неожиданно проявиться при установке программ на новом компьютере.
Никто не гарантирует полного уничтожения всех копий компьютерного
вируса, так как файловый вирус может поразить не только выполняемые
файлы, но и оверлейные модули с расширениями имени, отличающимися от COM
или EXE. Загрузочный вирус может остаться на какой-либо дискете и
внезапно проявиться при случайной попытке перезагрузиться с нее. Поэтому
целесообразно некоторое время после удаления вируса постоянно
пользоваться резидентным антивирусным сканером (не говоря уже о том, что
желательно пользоваться им постоянно).
Список использованной литературы.
Герасименко В.А. "Защита информации в автоматизированных системах
обработки данных" кн. 1.-М.: Энергоатомиздат. -1994.-400с.
Вербицкий О.В. "Вступление к криптологии".- Львов: Издательство
научно-технической литературы.-1998.-300с.
Галатенко В.А. "Информационная безопасность." – М.: Финансы и
статистика, 1997. –158 с.
Журнал "Домашний компьютер" - №10, 2001год.
С. Симонович, Г. Евсеев "Новейший самоучитель по работе в Интернете" –
М: "ДЕСС КОМ", 2000 – 528с.
С. Симонович "Информатика для юристов и экономистов" М: "Инфоком-Пресс",
2001 год.