Партнерка на США и Канаду по недвижимости, выплаты в крипто

  • 30% recurring commission
  • Выплаты в USDT
  • Вывод каждую неделю
  • Комиссия до 5 лет за каждого referral

Идентификация необходима для закрепления за каждым субъектом доступа уникального имени в виде номера, шифра, кода и т. п. Основными и наиболее часто применяемыми методами установления подлинности пользователей являются методы, основанные на использовании паролей. Эффективность парольных методов может быть существенно повышена путем записи в зашифрованном виде длинных и нетривиальных паролей. Представление паролей в зашифрованном виде ведется с использованием криптографии. Разграничение доступа заключается в том, чтобы каждому зарегистрированному пользователю предоставлялась возможность доступа к информации в пределах доступа его полномочий и не более. Для каждого пользователя устанавливаются его полномочия в отношении доступных файлов, каталогов логических дисков и др. Разграничение доступа происходит по уровням секретности, по специальным спискам, по матрицам полномочий, по специальным мандатам.

Очень эффективным методом защиты от несанкционированного доступа является создание функционально-замкнутых сред пользователей. Суть его состоит в следующем. Для каждого пользователя создается меню, в которое он попадает после загрузки операционной системы. В нем указываются программы, к выполнению которых допущен пользователь. После выполнения любой программы из меню пользователь снова попадает в меню. Если эти программы не имеют возможности инициировать выполнение других программ, а также предусмотрена корректная обработка ошибок, сбоев и отказов, то пользователь не может выйти за рамки установленной замкнутой функциональной среды.

Защита программных средств от несанкционированного копирования

Угроза несанкционированного копирования информации блокируется двумя группами методов:

- методы, затрудняющие считывание скопированной информации

-методы, препятствующие использованию информации

Методы первой группы основаны на создании в процессе записи информации на носители таких особенностей, которые не позволяют считывать полученную копию на других носителях, не входящих в состав защищаемой КС.

Вторая группа методов противодействия копированию затрудняет использование полученных копированием программ и данных. Наиболее эффективным в этом отношении средством защиты является хранение информации в преобразованном криптографическими методами виде.

Защита от несанкционированного изменения структуры КС в процессе эксплуатации

При эксплуатации КС неизменность аппаратной и программной структуры требует предотвращения несанкционированного доступа к аппаратной и программной частям КС. Организация доступа обслуживающего персонала отличается от организации доступа пользователей. По возможности устройство освобождается от конфиденциальной информации и отключаются все информационные связи. Техническое обслуживание выполняется под контролем должностного лица. Одним из возможных путей несанкционированного изменения технической структуры КС является подключение незарегистрированных устройств или замена ими штатных устройств КС. Для предотвращения этих угроз используются методы: регулярная проверка конфигурации системы, использование идентификаторов для установления подлинности устройства.

Контроль целостности программ и данных

Под контролем целостности программ и данных, хранимых в КС, понимается обнаружении их любых модификаций. В общем случае контроль информационной целостности достигается путем определения характеристики целостной (эталонной) информации, называемой эталонной характеристикой, или эталонным кодом обнаружения модификаций. Эта эталонная характеристика по своему объему значительно меньше контролируемой информации, а ее значение отражает содержимое защищаемых от изменения данных. В процессе непосредственного контроля информационной целостности выполняются следующие действия:

-для контролируемой информации определяется текущая характеристика обнаружения изменений по тому алгоритму, по которому формировалась эталонная характеристика;

-текущая и эталонная характеристика сравниваются. Если они совпадают, то считается, что контролируемая информация не изменялась.

Наиболее простым алгоритмом является контрольное суммирование. В этом случае эталонная характеристика создается путем поразрядного суммирования с накоплением по модулю два всех двоичных слов, образующих контролируемый файл. При этом разрядность контрольной суммы равна разрядности двоичного слова.

Регистрация и контроль действий пользователя

Для своевременного пресечения несанкционированных действий, для контроля за соблюдением правил доступа необходимо обеспечить регулярный сбор, фиксацию и выдачу по запросам сведений о всех обращениях к защищаемым компьютерным ресурсам, о входе и выходе из системы. Основной формой регистрации является программное ведение специальных регистрационных журналов в виде файлов на внешних носителях информации. Доступ к ним имеет только администратор системы защиты. При регистрации сведений по обращению к КС рекомендуется фиксировать: время поступления запроса, идентификатор пользователя, идентификатор компьютера, с которого поступил запрос, содержание сообщения в составе запроса, полномочия пользователей, пароли, ключи, время окончания использования ресурса. При обработке секретной информации необходимо ведение «ручного» журнала. Имея в журналах необходимые сведения, можно в любой момент получить статистические данные относительно компьютера, пользователей и программ, сведения о результатах выполнения запросов и использовании запрашиваемых ресурсов. При обнаружении несанкционированных действий пользователей и программ, нарушении работоспособности программно-аппаратных средств для службы безопасности КС должна быть предусмотрена сигнализация, содержащая информацию о самом факте НСД, сообщение о месте, времени и характере события, информацию о пользователях, программах или устройствах, связанных с возникновением НСД. Для пресечения злоумышленных действий важное значение имеет преимущество во времени. Для этого создаются специальные программы, имитирующие нормальную работу с нарушителем.

НЕ нашли? Не то? Что вы ищете?

Криптографические методы защиты информации

Суть криптографической защиты заключается в преобразовании информации к неявному виду с помощью специальных алгоритмов либо аппаратных средств и соответствующих кодовых ключей. Именно так устанавливается подлинность документов с помощью электронной цифровой подписи.

Криптографические преобразования связаны с шифрованием и дешифрованием информации. При шифровании с помощью правил, содержащихся в шифре, происходит преобразование защищаемой информации к неявному виду. Дешифрование – обратный процесс, т. е. преобразование шифрованного сообщения в исходную информацию. Кроме этого существуют другие методы криптографического преобразования: шифрование, стенография, кодирование, рассечение/разнесение, сжатие.

При шифровании каждый символ защищаемого сообщения подвергается обратимым математическим, логическим или другим преобразованиям, в результате которых исходная информация представляется в виде хаотического набора букв, цифр и других символов. Стенография, в отличие от других методов преобразования информации, позволяет скрыть не только смысл информации, но и сам факт хранения или передачи закрытой информации. В КС практическое использование стенографии только начинается, но этот метод защиты информации считается перспективным. В основе всех методов стенографии лежит маскирование закрытой информации среди открытых файлов. Кодирование широко используется для защиты информации от искажений в каналах связи. Обычно кодирование связано с заменой смысловых конструкций исходной информации алфавитно-цифровыми кодами. В этом случае для кодирования и обратного преобразования используются специальные таблицы или словари, хранящиеся в секрете, при этом кодировочные таблицы необходимо часто менять. Рассечение/разнесение заключается в том, что массив защищаемых данных делится (рассекается) на такие элементы, каждый из которых в отдельности не позволяет раскрыть содержание защищаемой информации. Выделенные таким образом элементы данных разносятся по разным зонам ЗУ или располагаются на различных носителях. Целью сжатия является сокращение объема информации, но в то же время сжатая информация не может быть использована без обратного преобразования, но этот метод нельзя считать надежным.

Шифрование данных широко используется в Интернете для защиты информации, хотя исключить доступ к информации посторонних лиц невозможно даже теоретически.

Симметричное и несимметричное шифрование информации

К документу применяется некий метод шифрования (ключ), после этого документ становится недоступен для чтения обычными средствами. Его может прочитать только тот, кто знает ключ. Аналогично происходит шифрование и ответного сообщения. Если в процессе обмена информацией для шифрования и чтения пользуются одним и тем же ключом, то такой криптографический процесс называется симметричным. Основной недостаток симметричного процесса заключается в том, что, прежде чем начать процесс обмена информацией, надо выполнить передачу ключа, а для этого нужна защищенная связь, т. е. проблема повторяется, хотя и на другом уровне.

В настоящее время в Интернете чаще используют несимметричные криптографические системы. Они основаны на использовании двух ключей. Компания создает для работы с клиентами два ключа: открытый и закрытый. На самом деле это две половинки одного целого ключа, связанные друг с другом. Ключи устроены так, что сообщение, зашифрованное одной половинкой, можно расшифровать только другой половинкой, не той, которой было зашифровано. Создав пару ключей, компания широко распространяет публичный ключ и надежно сохраняет закрытый ключ. Публичный ключ может быть опубликован на сервере и всем доступен. С его помощью можно зашифровать и послать в компанию сообщение, но расшифровать его может только тот, у кого есть закрытый ключ. Естественно существует реальная угроза реконструирования закрытого ключа, важно, чтобы этого нельзя было сделать в приемлемые сроки. В этом состоит принцип достаточной защиты: он предполагает, что защита не абсолютна и приемы ее снятия известны, но она все же достаточна для того, чтобы сделать это мероприятие нецелесообразным.

Электронная цифровая подпись

Электронная цифровая подпись – это метод удостоверения подлинности сообщения. Он основан на применении шифрования открытым ключом.

Суть метода:

Отправитель сообщения кодирует сообщение S своим закрытым ключом и отправляет получателю подписанное сообщение, т. е. само сообщение S и его код C. Получатель сообщения еще раз кодирует код C с помощью открытого ключа отправителя. При этом он получает сообщение S/. Если S и S/ совпали, это значит, что нешифрованное сообщение S не было искажено злоумышленником при передаче и действительно было отправлено отправителем, который опубликовал свой открытый ключ. Подделать ЭЦП практически невозможно.

Защита операционной системы

от несанкционированного доступа и разрушений

Основные функции защиты операционной системы

1. Разграничение доступа. Каждый пользователь имеет доступ только к тем объектам операционной системы, к которым ему предоставлен доступ в соответствии с текущей политикой безопасности.

2. Идентификация и аутентификация. Ни один пользователь не может начать работу с операционной системой, не идентифицировав себя и не предоставив системе аутентификационную информацию, подтверждающую, что пользователь тот, за кого себя выдает. Для идентификации пользователь должен ввести свое имя, а для аутентификации ввести пароль - текстовую строку, известную только ему. Имя пользователя назначается администратором системы.

3.Аудит.

Общие сведения

Процедура аудита применительно к операционным системам заключается в регистрации в специальном журнале, называемом журналом аудита или журналом безопасности, событий, которые могут представлять опасность для операционной системы. Пользователи системы, обладающие правом чтения этого журнала, называются аудиторами.

Необходимость включения в защищенную операционную систему функций аудита диктуется следующими обстоятельствами.

1. Подсистема защиты операционной системы, не обладая интеллектом, не способна отличить случайные ошибки пользователей от злонамеренных действий. Например, то, что пользователь в процессе входа в систему ввел неправильный пароль, может означать как случайную ошибку при вводе пароля, так и попытку подбора пароля. Но, если сообщение о подобном событии записано в журнал аудита, администратор, просматривая этот журнал, легко сможет установить, что же имело место на самом деле - ошибка легального пользователя или атака злоумышленника. Если пользователь ввел неправильный пароль всего один раз - это явная ошибка. Если же пользователь пытался угадать собственный пароль 20—30 раз - это явная попытка подбора пароля.

2. Администраторы операционной системы должны иметь возможность получать информацию не только о текущем состоянии системы, но и о том, как она функционировала в недавнем прошлом. Журнал аудита дает такую возможность, накапливая информацию о важных событиях, связанных с безопасностью системы.

3. Если администратор операционной системы обнаружил, что против системы проведена успешная атака, ему важно выяснить, когда была начата атака и каким образом она осуществлялась. При наличии в системе подсистемы аудита не исключено, что вся необходимая информация содержится в журнале аудита.

Аппаратное обеспечение средств защиты. Задачи аппаратного обеспечения защиты информации

Под аппаратным обеспечением средств защиты операционной сис­темы традиционно понимается совокупность защитных функций, встроенных в процессор и программно реализованные расширения этих функций, а также средства и методы, исполь­зуемые для решения следующих задач:

управление оперативной и виртуальной памятью компьютера;

распределение процессорного времени между задачами в много­
задачной операционной системе;

синхронизация выполнения параллельных задач в многозадачной операционной системе;

обеспечение корректности совместного доступа задач к ресурсам
операционной системы;

исключение тупиковых ситуаций в процессе совместного доступа задач к ресурсам операционной системы.

Перечисленные задачи в значительной степени решаются с помо­щью аппаратно реализованных функций процессоров и других узлов ком­пьютера. Однако, как правило, для решения этих задач применяются и программные средства, и поэтому термины "аппаратное обеспечение за­щиты" и "аппаратная защита" не вполне корректны. Тем не менее, по­скольку эти термины фактически общеприняты, мы будем их использовать в настоящем пособии.

Компьютерные вирусы. Защита от компьютерных вирусов

Компьютерный вирус - это программный код, встроенный в другую программу, или в документ, или в определенные области носителя данных и предназначенный для выполнения несанкционированных действий на компьютере. Компьютерный вирус – это программа небольшая по размерам (200 – 5000 байт), которая самостоятельно запускается, многократно копирует свой код, присоединяет его к кодам других программ и мешает корректной работе ПК. Все компьютерные вирусы могут быть классифицированы по следующим признакам: по среде обитания, по способу заражения среды обитания, по деструктивным возможностям, по особенностям алгоритмов функционирования. По способу заражения вирусы делятся на резидентные и нерезидентные. Резидентные вирусы после их инициализации перемещаются из сети, загрузочного сектора или файла в оперативную память ЭВМ, там они находятся долгое время, отслеживая появление доступной для заражения жертвы. Нерезидентные вирусы попадают в ОП только на время активности, в течение которого выполняют разрушительную функцию. Затем эти вирусы покидают ОП вместе с программой-носителем и остаются в среде обитания. Арсенал деструктивных компьютерных вирусов очень велик. По степени опасности для информационных ресурсов компьютерные вирусы можно разделить на безвредные, неопасные, опасные и очень опасные. Безвредные вирусы не влияют на работу компьютера, обычно их пишут авторы, которые желают показать свои возможности программиста. Неопасные вирусы не причиняют серьезного ущерба ресурсам, они лишь уменьшают свободную память компьютера. Деструктивное воздействие таких вирусов сводится к выводу на экран монитора шуток, картинок и т. д. К опасным относятся вирусы, которые вызывают существенное снижение эффективности КС, но не приводят к нарушению целостности и конфиденциальности информации, хранящейся в ЗУ. Такие вирусы не блокируют работу сети, а вызывают необходимость повторного выполнения программ, перезагрузки операционной системы или повторной передачи данных по каналам связи. Очень опасными следует считать вирусы, вызывающие нарушение конфиденциальности, уничтожение. необратимые изменения информации, а также блокирующие доступ к информации, что приводит к отказу технических средств. По особенностям алгоритма функционирования вирусы делятся на вирусы, не изменяющие среду обитания и изменяющие среду обитания. Вирусы, не изменяющие среду обитания делятся на две группы: вирусы-«спутники», вирусы-«черви». Вирусы-«спутники» создают копии для файлов, имеющих расширение. EXE, но присваивают им расширение. COM. Операционная система первым загружает на выполнение файл с расширение. COM, который является программой-вирусом, потом загружается и файл с расширением. EXE. Вирусы-«черви» попадают в рабочую станцию из сети, вычисляют адреса рассылки вирусов по другим абонентам сети и передают вирусы.

Компьютерный вирус может удалять некоторые файлы, блокировать работу ПК, форматировать жесткий диск и разрушать ПЗУ.

По среде обитания вирусы делятся на группы:

Загрузочные – они заражают программу начальной загрузки компьютера и запускаются при загрузке ПК, в настоящее время встречаются очень редко. Загрузочные вирусы замещают код программы, получающей управление при запуске системы, поэтому после перезагрузки системы управление передается вирусу. Загрузочные вирусы относятся к числу резидентных. От программных вирусов загрузочные вирусы отличаются методом распространения. Они поражают не программные файлы, а определенные системные области магнитных носителей (жестких и гибких). На включенном компьютере вирусы могут располагаться в оперативной памяти. Из оперативной памяти вирус попадает в загрузочный сектор жестких дисков. Далее компьютер сам становится источником распространения загрузочного вируса, заражаться будут все не защищенные от записи и не зараженные носители информации.

Программные или файловые (самые старые) – заражают исполняемые файлы, документы. Они приписываются в конец программы, потом начинают размножаться, увеличивая размеры файлов. Программные (файловые) вирусы - это блоки программного кода, целенаправленно внедренные внутрь других прикладных программ. При запуске программы, несущей вирус, происходит запуск имплантированного в нее вирусного кода. Работа этого кода вызывает скрытые от пользователя изменения в файловой системе жестких дисков и/или в содержании других программ. Вирусный код может воспроизводить себя в теле других программ - этот процесс называется размножением. Создав достаточное количество копий, программный вирус может перейти к разрушительным действиям - нарушению работы программ и операционной системы, удалению информации, хранящейся на жестком диске. Этот процесс называется вирусной атакой. Самые разрушительные действия могут инициализировать форматирование жестких дисков. Случается, что программные повреждения приходится устранять заменой аппаратных средств. Например, в большинстве современных материнских плат базовая система ввода/вывода хранится в перезаписываемых постоянных запоминающих устройствах (флэш-память). Некоторые программные вирусы уничтожают данные BIOS, в этом случае заменяется микросхема с BIOS, либо перепрограммируется.

Макровирусы – заражают приложения, в которых можно создавать макрокоманды, эти вредители являются программой на макроязыке. Это особая разновидность вирусов поражает не программы, а данные, документы, выполненные в некоторых прикладных программах, имеющих средства для исполнения так называемых макрокоманд. В частности, к таким документам относятся документы Microsoft Word, MS Excel. Макровирусы – вредительские программы, написанные на макроязыке, встроенном в текстовый редактор, табличный процессор и т. д.

Загрузочно-файловые вирусы;

Драйверные вирусы – заражают драйверы устройств;

Сетевые вирусы – распространяются в сетях.

Вредоносные программы

Наряду с компьютерными вирусами выделяют еще и вредоносные программы. Эти программы после определенного числа запусков разрушают хранящуюся в системе информацию, но при этом не обладают характерной для вирусов способностью к самовоспроизведением.

1 Люки

Люк вставляется в программу на этапе отладки программы, наличие люка позволяет вызывать программу нестандартным образом, это может отразиться на состоянии защиты. Люки могут остаться в программе по разным причинам: забыли убрать, оставили для дальнейшей отладки, оставили для реализации тайного доступа к программе после ее установки. Обнаружение люка – результат случайности или очень трудоемкого поиска, при приемке программных продуктов тщательно исследовать исходные тексты.

2 Логические бомбы – используются для искажения или уничтожения информации, реже с их помощью осуществляются кражи и мошенничества. Логическую бомбу вставляют во время разработки программы, а срабатывает она во время работы при наступлении определенных условий (время, дата, кодовое слово). Реальный пример логической бомбы: программист, предвидя свое увольнение вносит в программу расчета заработной платы изменения, которые начинают действовать, когда его фамилия исчезнет из набора данных о сотрудниках организации.

3 Черви

"Червей" часто называют вирусами, хотя, строго говоря, это не совсем верно. Сетевые черви - это программы, которые не изменяют файлы на дисках, не оставляют свои копии на носителе информации, а распространяются в компьютерной сети, проникают в операционную систему компьютера, находят адреса других компьютеров или пользователей и рассылают по этим адресам свои копии. Сетевые черви могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти). Червь использует механизм поддержки сети для определения узла, который может быть заражен. Затем с помощью тех же механизмов передает свое тело или его часть на этот узел и или активизируется или ждет подходящих условий. Наиболее известный червь – вирус Морриса (распространился в Интернете). Подходящей средой распространения червя является сеть, в которой пользователи доверяют друг другу, а защитные механизмы отсутствуют. По среде распространения червей можно условно разделить на следующие типы: Интернет-черви (распространяются по Интернету), LAN-черви (распространяются по локальной сети), IRC-черви (распространяются через чаты Internet Relay Chat).

Есть еще одна крайне опасная разновидность червей - бестелесные. Эти паразиты не используют для своего размножения ни временных, ни постоянных файлов. Бестелесные черви вне компьютера существуют в виде сетевых пакетов, а внутри зараженного компьютера - в виде программного кода прямо в оперативной памяти. Такие черви распространяются автоматически, используя уязвимости в прикладном и системном программном обеспечении. Для этого не требуется вмешательство со стороны пользователя. Бестелесные черви распространяются очень быстро. Одному из них в конце января 2003 года удалось в течение нескольких часов вывести из строя 25% всех серверов в Интернете, т. е. каждый четвертый узел, запрашиваемый пользователем, был недоступен. Этот бестелесный червь известен под двумя названиями: Slammer и Helkern (более подробную информацию о червях можно найти по адресу www. )

4.Троянские программы

Троянские программы, "троянские кони" и просто "троянцы" - это вредоносные программы, которые сами не размножаются. Подобно знаменитому Троянскому коню из "Илиады" Гомера, программа-троянец выдает себя за что-то полезное. Чаще всего троянский конь маскируется под новую версию бесплатной утилиты, какую-то популярную прикладную программу или игру.

Таким способом "троянец" пытается заинтересовать пользователя и побудить его переписать и установить на свой компьютер вредителя самостоятельно.

По выполняемым вредоносным действиям троянские программы можно условно разделить на следующие виды:

утилиты несанкционированного удаленного администрирования (позволяют злоумышленнику удаленно управлять зараженным компьютером);

утилиты для проведения DDoS-атак (Distributed Denial of Service - распределенные атаки типа отказ в обслуживании);

шпионские и рекламные программы, а также программы дозвона;

серверы рассылки спама;

многокомпонентные "троянцы"-загрузчики (переписывают из Интернета и внедряют в систему другие вредоносные коды или вредоносные дополнительные компоненты).

Следует отметить, что на практике часто встречаются программы-"троянцы", относящиеся сразу к нескольким перечисленным выше видам. Лучшая защита – замкнутые среды.

Утилиты несанкционированного удаленного администрирования

Удаленное управление компьютером часто используется в крупных и средних компаниях, а также в тех случаях, когда необходимо оказать техническую помощь пользователю, находящемуся на значительном расстоянии. С помощью средств удаленного управления системный администратор может настроить каждый компьютер в организации, не вставая со своего рабочего места. Однако эта полезная функциональность в руках злоумышленника превращается в грозное оружие. "Троянские кони" часто представляют собой вполне легальные утилиты удаленного управления, адаптированные под нужды хакеров. Если злоумышленнику удастся внедрить такого "троянца" в чужую систему, он сможет незаметно управлять этим компьютером втайне от его настоящего владельца.

Управление зараженным компьютером обычно осуществляется через Интернет. Вот лишь небольшая часть того, что может сделать злоумышленник на инфицированном ПК: выкрасть любую информацию с компьютера-жертвы (файлы, пароли, реквизиты и т. д.), провести любую файловую операцию (отформатировать жесткий диск, стереть или переименовать какие-то файлы и т. д.), перезагрузить компьютер, подключиться к сетевым ресурсам, использовать зараженный компьютер для атаки на какой-то третий компьютер или сервер в Интернете.

Самыми известными утилитами несанкционированного удаленного администрирования являются "троянцы" Back Orifice и NetBus.

Утилиты для проведения DDoS-атак

Цель DoS-атаки, или атаки типа отказ в обслуживании, - исчерпать ресурсы информационной системы. В случае успешного проведения DoS-атаки система перестает выполнять свои функции, становится недоступной и иногда непредсказуемой. Чаще всего объектом атаки типа отказ в обслуживании является web-сервер, например Интернет-магазин.

DDoS-атака, или распределенная атака типа отказ в обслуживании, отличается от DoS-атаки тем, что в ней один и тот же узел атакуют сразу несколько компьютеров. Для того чтобы исчерпать ресурсы web-сервера, злоумышленник должен искусственно создать повышенную нагрузку на него. Каждый web-сервер тратит определенные ресурсы (память, вычислительные мощности и т. д.) на обработку входящих запросов. Если большое число компьютеров, на которых установлена утилита для проведения DDoS-атак, одновременно начнут посылать свои запросы web-серверу, то велика вероятность, что ресурсы web-сервера быстро исчерпаются, а сам сервер не сможет обслуживать легальных пользователей. При проведении масштабной распределенной атаки типа отказ в обслуживании злоумышленник чаще всего контролирует и координирует действия зараженных троянской программой компьютеров.

Серверы рассылки спама

Спам - это нежелательные электронные сообщения. Чтобы избежать ответственности за рассылку спама, злоумышленники не рассылают письма со своего компьютера. Они предпочитают заразить компьютеры других пользователей Интернета специальным "троянцем", который превратит чужой ПК в сервер рассылки спама. Злоумышленнику останется лишь указать троянской программе, какое письмо и по каким адресам следует рассылать. Ответственность за эти незаконные действия будет нести легальный пользователь зараженного компьютера.

На практике одного сервера рассылки спама преступнику не хватает, ему требуется целая сеть зараженных компьютеров. Такие сети управляемых злоумышленником компьютеров называют сетями зомби-машин или просто зомби-сетями. В типичную зомби-сеть входит около 3 тыс. компьютеров, находящихся по всему миру.

Чтобы заразить большое число компьютеров и превратить их в серверы рассылки спама, преступники комбинируют различные виды вредоносных кодов. Чаще всего объединяют сетевых червей и "троянцев". Сетевые черви распространяются очень быстро, что позволяет заразить довольно много компьютеров, а при попадании на машину-жертву червь не только рассылает повсюду свои копии, но и устанавливает "троянца", который, собственно, и превращает зараженный компьютер в зомби.

Многокомпонентные "троянцы"- загрузчики

Многокомпонентность таких вредоносных кодов заключается в том, что после заражения нового компьютера они переписывают из Интернета другой вредоносный код и внедряют его в систему. Например, червь из предыдущего примера, который превращает компьютер в зомби, может не нести на себе "троянца", а переписать его из Интернета уже после того, как ему самому удастся заразить компьютер.

Различают компоненты разного уровня. Например, если "троянец" перепишет из сети другой вредоносный код, то это уже будет компонент второго уровня. Иногда бывает, что компонент второго уровня сам скачивает и внедряет еще одного паразита. Это уже компонент третьего уровня.

5 Захватчик паролей – специальные программы для воровства паролей. При попытке пользователя обратиться к рабочей станции информационной технологии на экран выводится информация, необходимая для окончания сеанса работы. Пытаясь организовать вход, пользователь вводит имя и пароль, которые пересылаются владельцу программы захватчика, после этого выводится сообщение об ошибке, а ввод и управление возвращаются о операционной системе. Пользователь думает, что допустил ошибку повторяет имя и пароль. Здесь нужно быть внимательным, соблюдать правила использования паролей, большинство нарушений происходит по небрежности.

6 Бактерии – эта программа делает копии самой себя, становится паразитом, перегружая память и МП ПК или рабочей станции сети.

Административные меры борьбы с вирусами

Говоря о степени ответственности антивирусной защиты, требуется разделять корпоративные и частные системы. Если речь идет об информационной безопасности организации, то необходимо позаботиться не только о технических (программных и аппаратных) средствах, но и об административных.

Если в некоторой компании есть сеть, не связанная с Интернетом, то вирус извне туда не проникнет, а чтобы вирус случайно не попал в корпоративную сеть изнутри, можно просто не давать пользователям возможности самостоятельно считывать носители информации, такие как CD-диски, USB-флэш или выходящие из употребления дискеты. Например, если кому-то из сотрудников необходимо считать что-либо с CD, он должен обратиться к администратору, который имеет право установить CD и считать данные. При этом за проникновение вирусов с этого CD уже несет ответственность администратор.

При нормальной организации безопасности в офисе именно администратор контролирует установку любого ПО; там же, где сотрудники бесконтрольно устанавливают софт, в сети рано или поздно появляются вирусы.

Большинство случаев проникновения вирусов в корпоративную сеть связано с выходом в Интернет с рабочей станции. Существуют режимные организации, где доступ к Интернету имеют только неподключенные к корпоративной сети станции. В коммерческих организациях такая система неоправданна. Там Интернет-канал защищается межсетевым экраном и прокси-сервером, о принципах работы которых будет сказано позднее. Во многих организациях разрабатывается политика, при которой пользователи имеют доступ лишь к тем ресурсам Интернета, которые нужны им для работы.

Как эволюционируют антивирусные программы

Антивирусные программы развивались параллельно с вредоносными кодами.

Первые антивирусные алгоритмы строились на основе сравнения с эталоном (часто эти алгоритмы называют сигнатурным поиском). Каждому вирусу ставилась в соответствие некоторая сигнатура или маска. С одной стороны, маска должна была быть небольшого размера, чтобы база данных всех таких масок не приняла угрожающих размеров. С другой стороны, чем больше размер сигнатуры, тем ниже вероятность ложного срабатывания (когда достоверно незараженный файл определяется антивирусом как инфицированный). На практике разработчики антивирусных программ использовали маску длиной 10-30 байт. Первые антивирусы знали какое-то количество сигнатур, могли находить и лечить определенное число вирусов. Получив новый вирус, разработчики анализировали его код и составляли уникальную маску. Эта маска добавлялась в базу данных антивирусных сигнатур, а само обновление распространялось на дискете. Если при сканировании подозрительного файла антивирус находил код, соответствующий маске, то исследуемый файл признавался инфицированным. Описанный алгоритм применяется в большинстве антивирусных программ до сих пор.

В середине 90-х годов появились первые полиморфные вирусы. Эти вредители изменяли свое тело по непредсказуемым алгоритмам, что значительно затрудняло анализ кода вируса и составление сигнатуры. Для борьбы с полиморфными вирусами метод сигнатурного поиска был дополнен средствами эмуляции среды выполнения. Эмуляция – это точное выполнение на ЭВМ программы или ее части, которые записаны в системе команд другой ЭВМ. Другими словами, антивирус не исследовал подозрительный файл статически, а запускал его в специальной искусственно созданной среде. Специалисты по антивирусам называют ее песочницей. Дело в том, что песочница абсолютно безопасна. Вирус в ней не сможет размножиться или нанести вред. Он также не сможет отличить песочницу от настоящей среды. В этом виртуальном пространстве антивирус следил за исследуемым объектом, ждал, пока код вируса будет расшифрован, и запускал метод сигнатурного поиска.

Второй базовый механизм для борьбы с компьютерными паразитами также появился в середине 90-х годов. Это эвристический анализ. Данный метод представляет собой существенно усложненный эмулятор, только в результате анализируется не код подозрительного файла, а его действия. Для того чтобы размножаться, файловый вирус должен копировать свое тело в память, открывать другие исполняемые файлы и записывать туда свое тело, записывать данные в секторы жесткого диска и т. д. Есть характерные действия и у сетевого червя. Это прежде всего доступ к адресной книге и сканирование жесткого диска на предмет обнаружения любых адресов электронной почты. Благодаря этому эвристический анализатор способен обнаружить даже те вредоносные коды, сигнатуры которых еще неизвестны.

Таким образом, сегодня двумя основными способами борьбы с вирусами являются сигнатурный поиск и эвристический анализатор. Все сигнатуры размещены в антивирусной базе - специальном хранилище, в котором антивирус хранит маски вредоносных программ. Эффективность сигнатурного поиска сильно зависит от объема антивирусной базы и от частоты ее пополнения. Именно поэтому сегодня разработчики антивирусных программ выпускают обновления для своих баз как минимум раз в сутки. Чтобы повысить скорость доставки этих обновлений на защищаемые компьютеры, используется Интернет.

Методы защиты от компьютерных вирусов

Существует три рубежа защиты от компьютерных вирусов:

предотвращение поступления вирусов; предотвращение вирусной атаки, если вирус проник в компьютер; предотвращение разрушительных воздействий, если атака произошла.

Существует три метода реализации защиты:

программные методы защиты; аппаратные методы защиты; организационные методы защиты.

Создавать систему безопасности следует с конца - с предотвращения разрушительных последствий любого воздействия, будь то вирусная атака, кража компьютера или выход из строя жесткого диска.

Средства антивирусной защиты

Основным средством защиты информации является резервное копирование наиболее ценных данных. Резервные копии хранятся отдельно от компьютера. Вспомогательными средствами защиты информации являются антивирусные программы и средства аппаратной защиты. Для защиты информации рекомендуется выполнять ряд действий.

1. Хранить образ жесткого диска на внешних носителях.

2. Регулярное сканировать жесткие диски в поисках компьютерных вирусов, при этом нужно регулярно обновлять антивирусную программу.

3. Вести контроль за изменением размеров и других атрибутов дисков.

4. Контролировать обращения к жесткому диску. Наиболее опасные операции, связанные с работой компьютерных вирусов, обращены на модификацию данных, записанных на жестком диске. Антивирусные программы могут контролировать обращения к диску и предупреждать пользователя о подозрительной активности.

Антивирусные программы делятся на несколько типов:

Детекторы или сканеры – они обнаруживают вирусы. Детекторы сравнивают загрузочные сектора дисков с известными загрузочными секторами, которые формируют операционные системы и обнаруживают вирусы. Сейчас в чистом виде такие программы встречаются редко;

Фаги или программы-доктора или дезинфекторы. Фаг – это программа, которая обнаруживает и уничтожает вирус, т. е. удаляет код вируса из файла. Пример: Aidstest. Очень мощный фаг – Doctor Web, а также фаг – AntiViral Tookit Pro – эта программа находит и неизвестные вирусы;

Ревизоры. Они относятся к самым надежным защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска, когда компьютер не заражен вирусом, а затем периодически сравнивают текущее состояние с исходным. Пример – Adinf;

Сторожа или вирус-фильтры. Это резидентная программа, постоянно находящаяся в памяти. Она контролирует попытки изменения файлов с расширением. com, .exe, следит за изменением атрибутов файлов, записями в загрузочные сектора диска и т. д.;

Вакцины (иммунизаторы) – резидентные программы, предотвращающие заражение файлов. Вакцинация возможна только для известных вирусов.

Полидетектер-дезинфектор – интегрированная программа для обнаружения и обезвреживания вирусов и восстановления пораженных файлов и программ.

Атрибуты файла: только для чтения, скрытый, архивный

Брандмауэр - средство защиты частных сетей

Межсетевые экраны или брандмауэры или файерволы (от англ. FIREWALL). Брандмауэр – это часть ПО, эта программа помогает защитить ПК от вирусов и других угроз безопасности, защищает от несанкционированного доступа через сеть.

Интересно происхождение данного термина. Брандмауэрами называли специальные устройства в поездах. В машинном отделении паровозов топливо находилось поблизости от топки. Кочегар бросал лопатой уголь в топку, и легковоспламеняющаяся угольная пыль часто вспыхивала. Из-за этого в машинном отделении нередко возникали пожары. Чтобы огонь не распространялся на пассажирские вагоны, позади машинного отделения начали устанавливать железные загородки. Именно этот щит получил название "брандмауэр".

Первые компьютерные брандмауэры были созданы для того, чтобы препятствовать распространению сетевого программного обеспечения, содержащего множество ошибок, на всю сеть с одного ее участка. Подобно своим железнодорожным прототипам, они были средством локализации "пожара".

Сегодня брандмауэры выступают в роли защитников границ между локальными сетями и Интернетом. Персональные брандмауэры выполняют те же функции, но на границе между домашним компьютером и Интернетом.

Брандмауэр, или межсетевой экран,- это система, предотвращающая несанкционированный доступ извне во внутреннюю сеть. Брандмауэры бывают аппаратными или программными. Аппаратный брандмауэр - это устройство, которое подключается к сети физически, фильтрует входящий и исходящий трафик и защищает от нежелательных проникновений во внутреннюю сеть или на персональный компьютер. Программный брандмауэр выполняет те же функции, но является не внешним аппаратным устройством, а программой, установленной на компьютере. В роли параметров фильтрации выступают адреса получателя и отправителя каждого сетевого пакета, протокол передачи данных (например, HTTP, FTP и т. д.), приложение, которое отсылает или принимает сетевой пакет и т. д.

Несанкционированный пользователь не сможет получить доступ в локальную сеть, если ее защищает брандмауэр.

Брандмауэр защищает частную сеть и отфильтровывает те данные, обмен которыми запрещен. Если в компании есть, например, 100 персональных компьютеров, объединенных в локальную сеть и имеющих выход в Интернет, но нет брандмауэра, то злоумышленник сможет проникнуть на каждый из этих компьютеров из Интернета.

Брандмауэры, предназначенные для защиты корпоративной сети, часто имеют встроенные proxy-сервер и систему обнаружения вторжений (систему обнаружения атак).

Proxy-сервер играет роль посредника между внутренней сетью организации и Интернетом. Сервер-посредник кэширует (сохраняет) часто запрашиваемые web-страницы в своей памяти. Когда пользователь запрашивает какую-нибудь страницу из Интернета, proxy-сервер проверяет, есть ли она в его базе данных. Если есть, то страница сразу же отправляется к пользователю. Если нет, то proxy-сервер запрашивает оригинальный сервер, где размещена страница, и, получив ее, отправляет пользователю. Механизм сохранения часто запрашиваемой информации позволяет значительно сэкономить время доступа к наиболее важным данным.

Еще одной функцией proxy-сервера часто является трансляция сетевых адресов (NAT - Network Address Translation). Ее суть в том, чтобы сделать компьютеры внутренней сети организации невидимыми для внешних запросов. Если злоумышленник попытается "заглянуть" во внутреннюю сеть компании, он увидит один лишь proxy-сервер (в данном случае еще и брандмауэр). Он не сможет узнать внутренние адреса компьютеров, а следовательно, вторгнуться в корпоративную сеть будет значительно сложнее. Естественно, механизм трансляции адресов немного замедляет работу всей защищаемой сети.

Системы обнаружения вторжений, даже являясь составной частью крупного брандмауэра, дополняют другие системы информационной безопасности. Они не только определяют сам факт проникновения в сеть, но и выявляют подозрительные действия.

Если брандмауэры рассматривать как забор с калиткой, через которую могут пройти те, кто наделен соответствующими полномочиями, система обнаружения будет выступать здесь в роли устройств внешнего видеонаблюдения и охранной сигнализации. Охранная система включается, когда злоумышленник перелез через забор или сломал калитку и теперь намеревается захватить центральный пульт управления. То есть когда хакер уже проник внутрь и готовится поразить жизненно важную систему.

Работа системы обнаружения вторжений строится на законах математической статистики. Каждое действие, происходящее в системе, подвергается анализу на соответствие сценарию сетевой атаки. Так как действия злоумышленника разнятся от случая к случаю, системе обнаружения вторжений приходится учитывать отклонения реально происходящих событий от сценария нападения.

Персональные брандмауэры

Персональные брандмауэры защищают отдельные автономные компьютеры, подсоединенные к Интернету. Чаще всего персональные брандмауэры используются на домашних ПК. Основная задача этого средства защиты - фильтровать входящий и исходящий сетевой трафик (поток данных), контролировать сетевую активность приложений и блокировать любые опасные действия.

Персональный брандмауэр умеет фильтровать входящие и исходящие соединения по целому ряду признаков. Это прежде всего адреса абонентов, используемый для соединения порт (число, которое идентифицирует процесс или приложение внутри компьютера) и полномочия приложения, осуществляющего обмен информацией. Есть и более сложные способы фильтрации. Например, при анализе входящих соединений брандмауэр всегда может проверить, запрашивало ли какое-нибудь приложение соединение с данным узлом. Если нет, то входящее соединение нужно запретить, а если да, значит, на персональный компьютер просто пришел ответ на посланный ранее запрос. Для того чтобы эффективно фильтровать трафик, в брандмауэре должна быть реализована поддержка большого числа протоколов и технологий.

В операционной системе Microsoft Windows XP имеется свой встроенный брандмауэр.

Брандмауэр, встроенный в Microsoft Windows XP

Брандмауэр Windows представляет собой фильтр сетевых пакетов (а информация в сети передается именно в пакетах), способный отразить стандартные сетевые атаки и не допустить низкоуровневого сетевого подключения к защищенному компьютеру. Также поставляемый по умолчанию с Microsoft Windows XP брандмауэр умеет корректно обрабатывать диагностические и служебные пакеты, приходящие из Интернета. Между тем служебные пакеты чаще всего используются для организации сетевых атак. Благодаря брандмауэру Windows компьютер пользователя намного сложнее обнаружить в Интернете и атаковать.

В операционную систему Microsoft Windows XP Service Pack 2 (пакет обновлений 2) включен "Центр обеспечения безопасности", который следит за тем, чтобы встроенный в ОС брандмауэр был включен и правильно настроен.

Однако для защиты компьютера под управлением Microsoft Windows необязательно использовать встроенный в операционную систему брандмауэр. Сами разработчики Microsoft рекомендуют попробовать и другие решения, а потом сделать выбор.

Outpost Firewall Pro

Разработчик: Agnitum www. /ru/products/outpost/

Outpost Firewall Pro - это персональный брандмауэр, который устанавливает защитный барьер между вашим компьютером и Интернетом, охраняя ваш компьютер от внешних атак и блокируя отсылку ценной информации в Сеть.

Основные особенности программы:

·  обнаруживает и блокирует атаки хакеров;

·  предотвращает несанкционированный доступ к данным;

·  скрывает присутствие вашей системы в сети, делая ее невидимой для взломщиков;

·  анализирует входящие почтовые сообщения и блокирует потенциально опасные;

·  отслеживает всю сетевую активность вашей системы;

·  препятствует посещению вашими детьми или сотрудниками нежелательных web-сайтов;

·  ведет подробный журнал вcей сетевой активности вашей системы и позволяет ее анализировать;

·  предотвращает утечку частной информации с вашего компьютера;

·  отражает посягательства на вашу конфиденциальность в сети Интернет;

·  сохраняет в тайне ваши перемещения и навигацию по Интернету;

·  работает со всеми современными версиями Windows - 98, 98SE, ME, 2000 и XP;

·  автоматически настраивается для оптимальной защиты данных во время инсталляции;

·  систематически следит за обновлениями через настраиваемую утилиту в целях обеспечения защиты от новых атак.

ZoneAlarm Pro

Разработчик: Zone Labs (www. )

ZoneAlarm Pro - это еще один брандмауэр, который позволяет блокировать активность любых программ, обращающихся к Windows из Интернета или пытающихся самостоятельно выйти в Сеть с ПК. ZoneAlarm распознает выполняемые программы и ограничивает их возможности, в частности контролирует пересылку данных из компьютера в Интернет. С помощью ZoneAlarm можно не только запретить выход в Сеть отдельной программе, но и остановить весь поток данных в Сеть и обратно.

Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5