В качестве предположений при
ответе на второй вопрос следует отметить,
что алгоритмические и программные закладки
могут быть реализованы в составе программного
компонента вследствие следующих факторов:
в результате инициативных
злоумышленных действий непосредственных
разработчиков алгоритмов и программ;
в результате штатной деятельности
специальных служб и организаций, а также
отдельных злоумышленников;
в результате применения инструментальных
средств проектирования ПО, несущих вредоносное
свойство автоматической генерации деструктивных
программных средств.
Для описания мотивов злоумышленных
действий при разработке программных
компонентов необходим психологический
"портрет" злоумышленника, что требует
проведения специальных исследований
психологов и криминологов в области психологии
программирования (психологии криминального
программирования, см. раздел 4.4). Однако
некоторые мотивы очевидны уже сейчас
и могут диктоваться следующим:
неустойчивым психологическим
состоянием алгоритмистов и программистов,
обусловленным сложностью взаимоотношений
в коллективе, перспективой потерять работу,
резким снижением уровня благосостояния,
отсутствием уверенности в завтрашнем
дне и т.п., в результате чего может возникнуть,
а впоследствии быть реализована, мысль
отмщения;
неудовлетворенностью личных
амбиций непосредственного разработчика
алгоритма или программы, считающего себя
непризнанным талантом, в результате чего
может появиться стремление доказать
и показать кому-либо (в том числе и самому
себе) таким способом свои высокие интеллектуальные
возможности;
перспективой выезда за границу
на постоянное место жительства (перспективной
перехода в другую организацию, например,
конкурирующую) с надеждой получить вознаграждение
за сведения о программной закладке и
механизме ее активизации, а также возможностью
таким способом заблокировать применение
определенного класса программных средств
по избранному месту жительства;
потенциальной возможностью
получить вознаграждение за устранение
возникшего при испытаниях или эксплуатации
системы "программного отказа" и
т.п.
Кроме того, необходимо иметь
в виду, что в конструировании вредоносной
программы, так или иначе, присутствует
притягательное творческое начало, которое
само по себе может стать целью. При этом
сам "творец" может слабо представлять
все возможные результаты и последствия
применения своей "конструкции",
либо вообще не задумываться о них.
Таким образом, правомерно утверждать,
что вредоносные программы, в отличие
от широко применяемых электронных закладок,
являются более изощренными объектами,
обладающими большей скрытностью и эффективностью
применения.
Ответы на три последних вопроса
можно найти в рамках быстро развивающейся
методологии обеспечения безопасности
программных средств и оценки уровня их
защищенности (разделы 2 и 3).
1.2. УГРОЗЫ БЕЗОПАСНОСТИ
ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ И ПРИМЕРЫ
ИХ РЕАЛИЗАЦИИ В СОВРЕМЕННОМ
КОМПЬЮТЕРНОМ МИРЕ
Угрозы безопасности информации
и программного обеспечения КС возникают
как в процессе их эксплуатации, так и
при создании этих систем, что особенно
характерно для процесса разработки ПО,
баз данных и других информационных компонентов
КС.
Наиболее уязвимы с точки зрения
защищенности информационных ресурсов
являются так называемые критические
компьютерные системы. Под критическими
компьютерными системами будем понимать
сложные компьютеризированные организационно-технические
и технические системы, блокировка или
нарушение функционирования которых потенциально
приводит к потере устойчивости организационных
систем государственного управления и
контроля, утрате обороноспособности
государства, разрушению системы финансового
обращения, дезорганизации систем энергетического
и коммуникационно - транспортного обеспечения
государства, глобальным экологическим
и техногенным катастрофам.
При решении проблемы повышения
уровня защищенности информационных ресурсов
КС необходимо исходить из того, что наиболее
вероятным информационным объектом воздействия
будет выступать программное обеспечение,
составляющее основу комплекса средств
получения, семантической переработки,
распределения и хранения данных, используемых
при эксплуатации критических систем.
В настоящее время одним из
наиболее опасных средств информационного
воздействия на компьютерные системы
являются программы - вирусы или компьютерные
вирусы.
Наибольшее распространение
компьютерные вирусы получили с развитием
персональных ЭВМ (ПЭВМ) и появлением микропроцессоров
фирмы Intel. Это обусловлено тем, что для
ПЭВМ наиболее распространенными операционными
системами (ОС) были и используются по
настоящее время (в новых версиях) ОС MS-DOS
и ОС Windows, которые по многим параметрам
открыты и беззащитны к вирусной угрозе.
В известных классификациях вирусов [3,59] более 90% от их общего числа
составляют именно вирусы для среды этих
операционных систем. Для наиболее распространенных
современных сетевых и многозадачных
операционных систем ряда Windows, OS/2 и клона
Unix по сравнению с этим вирусов обнаружено
не столь много.
В последние 10-15 лет компьютерные
вирусы нанесли значительный ущерб, как
отдельным средствам вычислительной техники,
так и сложным телекоммуникационным системам
различного назначения. Интенсивные проявления
вирусных заражений начались примерно
в середине 80-х годов. Так, с 1986 по 1989 год
было зарегистрировано 450 случаев проникновения
через сеть INTERNET компьютерных вирусов
в сеть Министерства обороны США DDN, из
которых 220 были классифицированы как
успешные. Только стоимость операций по
выявлению источников вирусных атак в
DDN превысила 100 тысяч долларов. Факты попыток
проникновения с использованием компьютерных
вирусов в информационные банки критических
систем в первой половине 80-х были зарегистрированы
в различных сетях США, Франции, Великобритании,
ФРГ, Израиля, Пакистана и Японии. По мнению
исследователей, после заражения одной
ЭВМ в сети среднее время заражения следующего
узла сети составляет от 10 до 20 минут. При
такой интенсивности размножения некоторые
вирусы способны за несколько часов вывести
из строя всю сеть.
Классическим примером широкомасштабной
вирусной угрозы является известный вирус
Морриса, выведший 21 ноября 1988 на 24 часа
из строя сеть ARPARNET. Промышленная ассоциация
компьютерных вирусов (Computer Virus Industry Association
- CVIA) выполнила детальный анализ расходов,
связанных с действием этого вируса, заразившего
7,3% или 6200 из 85200 компьютеров сети. Пользователи
потеряли свыше 8 млн. часов рабочего времени,
а операторы и администраторы сети потратили
около 1,13 млн. человеко-часов на то, чтобы
привести сеть в рабочее состояние. Расходы
от потерянной возможности доступа в сеть
и средства, затраченные на ее восстановление,
составили 98 млн. долларов. К декабрю 1988
г. в Ливерморской лаборатории США (Lawrence
Livermore National Laboratories), которая занимается,
в том числе, разработкой ядерного оружия
3-го поколения, было зафиксировано не
менее 10 попыток проникновения в сеть
лаборатории через каналы связи со Стэндфордским
университетом, университетом штата Вашингтон
и через сеть INTERNET. В результате было поражено
800 компьютеров. В том же году было зафиксировано
200 попыток заражения (из них 150 - успешных)
глобальной компьютерной сети NASA. Причем
16 мая в течение 7 часов было заражено 70
ЭВМ, а после заражения в них была создана
специальная программа для облегчения
проникновения в сеть в будущем. В качестве
основных средств вредоносного (деструктивного)
воздействия на КС необходимо, наряду
с другими средствами информационного
воздействия, рассматривать
алгоритмические и программные закладки.
Под алгоритмической
закладкой будем понимать преднамеренное
завуалированное искажение какой-либо
части алгоритма решения задачи, либо
построение его таким образом, что в результате
конечной программной реализации этого
алгоритма в составе программного компонента
или комплекса программ, последние будут
иметь ограничения на выполнение требуемых
функций, заданных спецификацией, или
вовсе их не выполнять при определенных
условиях протекания вычислительного
процесса, задаваемого семантикой перерабатываемых
программой данных. Кроме того, возможно
появление у программного компонента
функций, не предусмотренных прямо или
косвенно спецификацией, и которые могут
быть выполнены при строго определенных
условиях протекания вычислительного
процесса.
Под программной
закладкой будем понимать совокупность
операторов и (или) операндов, преднамеренно
в завуалированной форме включаемую в
состав выполняемого кода программного
компонента на любом этапе его разработки.
Программная закладка реализует определенный
несанкционированный алгоритм с целью
ограничения или блокирования выполнения
программным компонентом требуемых функций
при определенных условиях протекания
вычислительного процесса, задаваемого
семантикой перерабатываемых программным
компонентом данных, либо с целью снабжения
программного компонента не предусмотренными
спецификацией функциями, которые могут
быть выполнены при строго определенных
условиях протекания вычислительного
процесса.
Действия алгоритмических и
программных закладок условно можно разделить
на три класса: изменение функционирования
вычислительной системы (сети), несанкционированное
считывание информации и несанкционированная
модификация информации, вплоть до ее
уничтожения. В последнем случае под информацией
понимаются как данные, так и коды программ.
Следует отметить, что указанные классы
воздействий могут пересекаться
4. Дайте классификацию
и описание вирусов. Охарактеризуйте
известные типы антивирусных
программ.
Компьютерный вирус - это специально
написанная небольшая по размерам программа,
которая может "приписывать" себя
к другим программам (т.е. "заражать"
их) , а также выполнять различные нежелательные
действия на компьютере. Программа, внутри
которой находится вирус, называется "зараженной".
Когда такая программа начинает работу,
то сначала управление получает вирус.
Вирус находит и "заражает" другие
программы, а также выполняет какие-нибудь
вредные действия (например, портит файлы
или таблицу размещения файлов на диске,
"засоряет" оперативную память и
т.д.) . Для маскировки вируса действия
по заражению других программ и нанесению
вреда могут выполняться не всегда, а,
скажем, при выполнении определенных условий.
После того как вирус выполнит нужные
ему действия, он передает управление
той программе, в которой он находится,
и она работает также, как обычно. Тем самым
внешне работа зараженной программы выглядит
так же, как и незараженной.
Многие разновидности вирусов
устроены так, что при запуске зараженной
программы вирус остается резидентно,
т.е. до перезагрузки DOS, в памяти компьютера
и время от времени заражает программы
и выполняет вредные действия на компьютере.
Компьютерный вирус может испортить,
т.е. изменить ненадлежащим образом, любой
файл на имеющих в компьютере дисках. Но
некоторые виды файлов вирус может "заразить".
Это означает, что вирус может "внедриться"
в эти файлы, т.е. изменить их так, что они
будут содержать вирус, который при некоторых
обстоятельствах может начать свою работу.
Следует заметить, что тексты
программ и документов, информационные
файлы без данных, таблицы табличных процессоров
и другие аналогичные файлы не могут быть
заражены вирусом, он может их только испортить.
ПРОЯВЛЕНИЕ НАЛИЧИЯ
ВИРУСА В РАБОТЕ НА ПЭВМ
Все действия вируса могут выполняться
достаточно быстро и без выдачи каких-либо
сообщений, поэтому пользователю очень
трудно заметить, что в компьютере происходит
что-то необычное.
Пока на компьютере заражено
относительно мало программ, наличие вируса
может быть практически незаметно. Однако
по прошествии некоторого времени на компьютере
начинает твориться что-то странное, например:
* некоторые программы перестают работать
или начинают работать неправильно; * на
экран выводятся посторонние сообщения,
символы и т.д. ; * работа на компьютере
существенно замедляется; * некоторые
файлы оказываются испорченными и т.д.
К этому моменту, как правило,
уже достаточно много (или даже большинство)
программ являются зараженными вирусом,
а некоторые файлы и диски испорченными.
Более того, зараженные программы с одного
компьютера могли быть перенесены с помощью
дискет или по локальной сети на другие
компьютеры.
Некоторые виды вирусов ведут
себя еще более коварно. Они вначале незаметно
заражают большое число программ или дисков,
а потом причиняют очень серьезные повреждения,
например формируют весь жесткий диск
на компьютере. А бывают вирусы, которые
стараются вести себя как можно более
незаметно, но понемногу и постепенно
портят данные на жестком диске компьютера.
Таким образом, если не предпринимать
мер по защите от вируса, то последствия
заражения компьютера могут быть очень
серьезными.
РАЗНОВИДНОСТИ КОМПЬЮТЕРНЫХ
ВИРУСОВ
Каждая конкретная разновидность
вируса может заражать только один или
два типа файлов. Чаще всего встречаются
вирусы, заражающие исполнимые файлы.
Некоторые вирусы заражают и файлы, и загрузочные
области дисков. Вирусы, заражающие драйверы
устройств, встречаются крайне редко,
обычно такие вирусы умеют заражать и
исполнимые файлы.
В последнее время получили
распространение вирусы нового типа -
вирусы, имеющие файловую систему на диске.
Эти вирусы обычно называются DIR. Такие
вирусы прячут свое тело в некоторый участок
диска (обычно - в последний кластер диска)
и помечают его в таблице размещения файлов
(FAT) как конец файла.
Чтобы предотвратить свое обнаружение,
некоторые вирусы применяют довольно
хитрые приемы маскировки. Я расскажу
о двух из них: "невидимых" и самомодифицирующихся
вирусах.
"НЕВИДИМЫЕ" вирусы. Многие резидентные
вирусы (и файловые, и загрузочные) предотвращают
свое обнаружение тем, что перехватывают
обращения DOS (и тем самым прикладных программ)
к зараженным файлам и областям диска
и выдают их в исходном (незараженном)
виде. Разумеется, этот эффект наблюдается
только на зараженном компьютере - на "чистом"
компьютере изменения в файлах и загрузочных
областях диска можно легко обнаружить.
САМОМОДИФИЦИРУЮЩИЕСЯ вирусы. Другой способ, применяемый
вирусами для того, чтобы укрыться от обнаружения,
- модификация своего тела. Многие вирусы
хранят большую часть своего тела в закодированном
виде, чтобы с помощью дизассемблеров
нельзя было разобраться в механизме их
работы. Самомодифицирующиеся вирусы
используют этот прием и часто меняют
параметры этой кодировки, а, кроме того,
изменяют и свою стартовую часть, которая
служит для раскодировки остальных команд
вируса. Таким образом, в теле подобного
вируса не имеется ни одной постоянной
цепочки байтов, по которой можно было
бы идентифицировать вирус. Это, естественно,
затрудняет нахождение таких вирусов
программами-детекторами.
МЕТОДЫ ЗАЩИТЫ ОТ
КОМПЬЮТЕРНЫХ ВИРУСОВ
Каким бы не был вирус, пользователю
необходимо знать основные методы защиты
от компьютерных вирусов.
Для защиты от вирусов можно
использовать: * общие средства защиты
информации, которые полезны также и как
страховка от физической порчи дисков,
неправильно работающих программ или
ошибочных действий пользователя; * профилактические
меры, позволяющие уменьшить вероятность
заражения вирусом; * специализированные
программы для защиты от вирусов.
Общие средства защиты информации
полезны не только для защиты от вирусов.
Имеются две основные разновидности этих
средств: * копирование информации - создание
копий файлов и системных областей дисков;
* разграничение доступа предотвращает
несанкционированное использование информации,
в частности, защиту от изменений программ
и данных вируса ми, неправильно работающими
программами и ошибочными действиями
пользователей.
Несмотря на то, что общие средства
защиты информации очень важны для защиты
от вирусов, все же их недостаточно. Необходимо
и применение специализированных программ
для защиты от вирусов. Эти программы можно
разделить на несколько видов: детекторы,
доктора (фаги) , ревизоры, доктора-ревизоры,
фильтры и вакцины (иммунизаторы) .
Сейчас на рынке программного обеспечения
представлен достаточно широкий спектр
антивирусных программ. Чтобы правильно
использовать антивирусные средства,
необходимо различать их по назначению.
Существуют несколько видов программных
средств борьбы с вирусами - это сканеры
(другие названия: фаги, полифаги), ревизоры
диска (CRC-сканеры), резидентные мониторы
и иммунизаторы. Изложим основные принципы
их работы.
Сканеры
Принцип работы антивирусных сканеров
основан на проверке файлов, секторов
и системной памяти и поиске в них известных
и новых (неизвестных сканеру) вирусов.
Для поиска известных вирусов используются
так называемые «маски». Маской вируса
является некоторая постоянная последовательность
кода, специфичная для этого конкретного
вируса. Если вирус не содержит постоянной
маски, или длина этой маски недостаточно
велика, то используются другие методы.
Примером такого метода является алгоритмический
язык, описывающий все возможные варианты
кода, которые могут встретиться при заражении
подобного типа вирусом. Такой подход
используется некоторыми антивирусами
для детектирования полиморфик-вирусов.
Во многих сканерах используются также
алгоритмы «эвристического сканирования»,
т.е. анализ последовательности команд
в проверяемом объекте, набор некоторой
статистики и принятие решения («возможно
заражен» или «не заражен») для каждого
проверяемого объекта. Поскольку эвристическое
сканирование является во многом вероятностным
методом поиска вирусов, то на него распространяются
многие законы теории вероятностей. Например,
чем выше процент обнаруживаемых вирусов,
тем больше количество ложных срабатываний.
Сканеры также можно разделить на две
категории - «универсальные» и «специализированные».
Универсальные сканеры рассчитаны на
поиск и обезвреживание всех типов вирусов
вне зависимости от операционной системы,
на работу в которой рассчитан сканер.
Специализированные сканеры предназначены
для обезвреживания ограниченного числа
вирусов или только одного их класса, например
макро-вирусов. Специализированные сканеры,
рассчитанные только на макро-вирусы,
часто оказываются наиболее удобным и
надежным решением для защиты систем документооборота
в средах MS Word и MS Excel.
К достоинствам сканеров всех типов относится
их универсальность, к недостаткам - размеры
антивирусных баз, которые сканерам приходится
«таскать за собой», и относительно небольшую
скорость поиска вирусов.
Ревизоры диска
Принцип работы ревизоров диска (CRC-сканеров)
основан на подсчете CRC-сумм (контрольных
сумм) для присутствующих на диске файлов/системных
секторов. Эти CRC-суммы затем сохраняются
в базе данных антивируса, как, впрочем,
и некоторая другая информация: длины
файлов, даты их последней модификации
и т.д. При последующем запуске CRC-сканеры
проверяют данные, содержащиеся в базе
данных, с реально подсчитанными значениями.
Если информация о файле, записанная в
базе данных, не совпадает с реальными
значениями, то CRC-сканеры сигнализируют
о том, что файл был изменен или заражен
вирусом.
CRC-сканеры, использующие анти-стелс алгоритмы,
являются довольно сильным оружием против
вирусов: практически 100% вирусов оказываются
обнаруженными почти сразу после их появления
на компьютере. Однако у этого типа антивирусов
есть врожденный недостаток, который заметно
снижает их эффективность. Этот недостаток
состоит в том, что CRC-сканеры неспособны
поймать вирус в момент его появления
в системе, а делают это лишь через некоторое
время, уже после того, как вирус разошелся
по компьютеру. CRC-сканеры не могут детектировать
вирус в новых файлах (в электронной почте,
на дискетах, в файлах, восстанавливаемых
из backup-a или при распаковке файлов из архива),
поскольку в их базах отсутствует информация
об этих файлах. Более того, периодически
появляются вирусы, которые используют
эту «слабость» CRC-сканеров, заражают только
вновь создаваемые файлы и остаются, таким
образом, невидимыми для них.
Часто ревизоры диска и сканеры объединяются
в одну универсальную антивирусную программу,
что значительно повышает ее мощность.