Студопедия.Орг Главная | Случайная страница | Контакты | Мы поможем в написании вашей работы!  
 

Классификация компьютерных вирусов



В настоящее время в мире насчитывается более 40 тысяч только зарегистрированных компьютерных вирусов. Так как подавляющее большинство современных вредительских программ обладают способностью к саморазмножению, то часто их относят к компьютерным вирусам. Все компьютерные вирусы могут быть классифицированы по следующим признакам [4,20]:

* по среде обитания;

* по способу заражения;

* по степени опасности деструктивных (вредительских) воздействий;

* по алгоритму функционирования.

По среде обитания компьютерные вирусы делятся на: * сетевые;

* файловые;

* загрузочные;

* комбинированные.

По способу заражения среды обитания компьютерные вирусы делятся на:

* резидентные;

* нерезидентные.

По степени опасности для информационных ресурсов пользователя компьютерные вирусы можно разделить на: * безвредные вирусы;

* опасные вирусы;

* очень опасные вирусы.

В соответствии с особенностями алгоритма функционирования вирусы можно разделить на два класса: * вирусы, не изменяющие среду обитания (файлы и секторы) при распространении;

* вирусы, изменяющие среду обитания при распространении.

В свою очередь, вирусы, не изменяющие среду обитания, могут быть разделены на две группы:

* вирусы-«спутники» (companion);

* вирусы-«черви» (worm).

По сложности, степени совершенства и особенностям маскировки алгоритмов вирусы, изменяющие среду обитания, делятся на: * студенческие;

* «стелс» - вирусы (вирусы-невидимки);

* полиморфные.

Любой вирус, независимо от принадлежности к определенным классам, должен иметь три функциональных блока: блок заражения (распространения), блок маскирования и блок выполнения деструктивных действий. Разделение на функциональные блоки означает, что к определенному блоку относятся команды программы вируса, выполняющие одну из трех функций, независимо от места нахождения команд в теле вируса. После передачи управления вирусу, как правило, выполняются определенные функции блока маскировки. Например, осуществляется расшифрование тела вируса. Затем вирус осуществляет функцию внедрения в незараженную среду обитания. Если вирусом должны выполняться деструктивные воздействия, то они выполняются либо безусловно, либо при выполнении определенных условий. Завершает работу вируса всегда блок маскирования. При этом выполняются, например, следующие действия: шифрование вируса, восстановление старой даты изменения файла, восстановление атрибутов файла, корректировка таблиц ОС и др. Последней командой вируса выполняется команда перехода на выполнение зараженных файлов или на выполнение программ ОС. Для удобства работы с известными вирусами используются каталоги вирусов. В каталог помещаются следующие сведения о стандартных свойствах вируса: имя, длина, заражаемые файлы, место внедрения в файл, метод заражения, способ внедрения в ОП для резидентных вирусов, вызываемые эффекты, наличие (отсутствие) деструктивной функции и ошибки.

6. Контрольно-испытательные методы анализа безопасности ПО.

Контрольно-испытательные методы анализа безопасности ПО решают задачу анализа в пространстве отношений посредством получения с помощью тестовых испытаний рабочего пространства программы и проверки легитимности отношений, принадлежащих этому множеству. Однако, при этом возникают упомянутые трудности – неразрешимость множества нелегитимных отношений p и невозможность получить все элементы множества . В контрольно-испытательных методах проблема неразрешимости множества нелегитимных отношений преодолевается путем установления жестких ограничений на рабочее пространство отношений исследуемой программы. Эти ограничения устанавливаются в виде требований безопасности, которые ограничивают рабочую область программы отношениями, легитимность которых для данной программы и ВС очевидна. Таким образом множество нелегитимных отношений p аппроксимируется объемлющим его разрешимым множеством запрещенных отношений.

Критерием безопасности программы в этом случае служит факт регистрации в ходе исследования нарушения требований по безопасности, предъявляемых в системе предполагаемого применения исследуемой программы, т. е. наличие противоречия с принятой в системе политикой безопасности.При решении задачи анализа безопасности контрольно-испытательными методами для того чтобы доказать, что программа p безопасна для применения в ВС S достаточно доказать, что рабочее пространство программы p в S не содержит запрещенных отношений.

В отличие от контрольно-испытательных логико-аналитические методы решают задачу в пространстве программ. Это означает, что для доказательства того, что программа безопасна, необходимо доказать, что она не принадлежит множеству РПС (V). Множество РПС V аппроксимируется разрешенным подмножеством, обладающим характеристической функцией. Вводится система моделирования, в которой каждая программа описывается заданным набором атрибутов, пространство значений которых и служит областью определения характеристической функции. Характеристическая функция фактически разрешает вопрос эквивалентности модели исследуемой программы обобщенной модели РПС.

Пусть выбрана некоторая система моделирования программ, в которой каждая программа представлена своей моделью, обладающей множеством атрибутов A={ai | i=1..N}. В этой системе моделирования исследуемая программа p представляется своей моделью Mp, которая характеризуется множеством атрибутов Ap={api | i=1..N}. В рамках этой системы моделирования должно быть задано разрешимое подмножество РПС V*ÌV, обладающее определенной на множестве атрибутов A характеристической функцией cV* (a1,a2..aN).

Таким образом, при применении логико-аналитических методов, задача анализа безопасности сводится к вычислению значения характеристической функции cV* на множестве атрибутов программы p: если cV*(ap1,ap2..apN) истинно, то программа p является РПС, принадлежащим подмножеству РПС V*(pÎV*); если ложно, то программа p не является РПС, принадлежащим к выделенному разрешимому подмножеству РПС V*(pÏV*).

Предложенная классификация методов анализа безопасности ПО и разработанные общие схемы процесса анализа безопасности с помощью контрольно-испытательных и логико-аналитических методов позволяют построить комплексные методики анализа безопасности программ в исполняемом коде.

7. Логико-аналитические методы анализа безопасности ПО.

В отличие от контрольно-испытательных логико-аналитические методы решают задачу в пространстве программ. Это означает, что для доказательства того, что программа безопасна, необходимо доказать, что она не принадлежит множеству РПС (V). Множество РПС V аппроксимируется разрешенным подмножеством, обладающим характеристической функцией. Вводится система моделирования, в которой каждая программа описывается заданным набором атрибутов, пространство значений которых и служит областью определения характеристической функции. Характеристическая функция фактически разрешает вопрос эквивалентности модели исследуемой программы обобщенной модели РПС.

Пусть выбрана некоторая система моделирования программ, в которой каждая программа представлена своей моделью, обладающей множеством атрибутов A={ai | i=1..N}. В этой системе моделирования исследуемая программа p представляется своей моделью Mp, которая характеризуется множеством атрибутов Ap={api | i=1..N}. В рамках этой системы моделирования должно быть задано разрешимое подмножество РПС V*ÌV, обладающее определенной на множестве атрибутов A характеристической функцией cV* (a1,a2..aN).

Таким образом, при применении логико-аналитических методов, задача анализа безопасности сводится к вычислению значения характеристической функции cV* на множестве атрибутов программы p: если cV*(ap1,ap2..apN) истинно, то программа p является РПС, принадлежащим подмножеству РПС V*(pÎV*); если ложно, то программа p не является РПС, принадлежащим к выделенному разрешимому подмножеству РПС V*(pÏV*).

Предложенная классификация методов анализа безопасности ПО и разработанные общие схемы процесса анализа безопасности с помощью контрольно-испытательных и логико-аналитических методов позволяют построить комплексные методики анализа безопасности программ в исполняемом коде.

8. Модель специальной программной закладки.

Жизненный цикл программной закладки имеет много общего с жизненным циклом таких объектов как, например, вирусы, и выглядит следующим образом:

- внедрение;

- исследование среды;

- саморепродукция;

- активизация;

- выполнение разрушающей функции.

Обобщенно функционирование уже внедренной закладки можно представить в виде схемы.

Структурно программная закладка состоит из четырех основных функциональных блоков: исследования, активизации, проявления деструктивных функций (разрушения) и маскировки. В маскировку также может входить и защита от исследования закладки (противодействие закладки ее обнаружению).

Начало функционирования программной закладки осуществляется в момент передачи управления программе-носителю (на схеме показано точкой входа – 1). Выполнению разрушающей функции предшествуют процессы исследования и активизации. Маскировка присутствия закладки может быть начата в любой момент ее функционирования. Закладка взаимодействует с программно-аппаратной средой, в которой запущена программа-носитель. Соответствующие внутренние и внешние связи программной закладки показаны на схеме. Передача управления «внутри» закладки осуществляется в одном направлении - в сторону активизации разрушающей функции. При этом не исключен параллельный процесс, заключающийся в маскировке ее функционирования. Особенностью данного процесса является наличие защиты от исследования закладки вследствие активного воздействия программно - аппаратной среды на область закладки.

За время своего жизненного цикла программная закладка также активно воздействует на программно-аппаратную среду, причем не только как результат проявления разрушающей функции, но и как исследователь «окружающей» программно-аппаратной среды. В процессе исследования такие воздействия заключаются, например, в выявлении наличия в системе объектов воздействия (атаки), определения наиболее уязвимых мест (потенциальных брешей безопасности), установки резидентных модулей и т.д., таким образом, программная закладка получает информацию для дальнейшего функционирования. Активизация программной закладки представляет собой непосредственный переход к реализации разрушающей функции посредством проверки выполнения некоторого логического условия (условий) в программно-аппаратной среде.

Выполнение разрушающей функции – завершающий этап жизненного цикла программной закладки.

9. Несанкционированный доступ к информации (НСД). Идентификация, аутентификация, пароль пользователя, понятие парольной системы.

Термин «несанкционированный доступ к информации» (НСДИ) определен как доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств вычислительной техники или автоматизированных систем

Под правилами разграничения доступа понимается совокупность положений, регламентирующих права доступа лиц или процессов (субъектов доступа) к единицам информации (объектам доступа).

Право доступа к ресурсам КС определяется руководством для каждого сотрудника в соответствии с его функциональными обязанностями. Процессы инициируются в КС в интересах определенных лиц, поэтому и на них накладываются ограничения по доступу к ресурсам.

Выполнение установленных правил разграничения доступа в КС реализуется за счет создания системы разграничения доступа (СРД), которая подробно рассматривается в главе 8.

Несанкционированный доступ к информации возможен только с использованием штатных аппаратных и программных средств в следующих случаях:

* отсутствует система разграничения доступа;

* сбой или отказ в Комп Систем;

* ошибочные действия пользователей или обслуживающего персонала компьютерных систем;

* ошибки в С Разграничений Доступа;

* фальсификация полномочий.

Если СРД отсутствует, то злоумышленник, имеющий навыки работы в КС, может получить без ограничений доступ к любой информации. В результате сбоев или отказов средств КС, а также ошибочных действий обслуживающего персонала и пользователей возможны состояния системы, при которых упрощается НСДИ. Злоумышленник может выявить ошибки в СРД и использовать их для НСДИ. Фальсификация полномочий является одним из наиболее вероятных путей (каналов) НСДИ.

Одной из основных задач, решаемых при организации допуска на объект, является идентификация и аутентификация лиц, допускаемых на объект. Их называют субъектами доступа.

Под идентификацией понимается присвоение субъектам доступа идентификаторов и (или) сравнение предъявляемых идентификаторов с перечнем присвоенных идентификаторов, владельцы (носители) которых допущены на объект.

Аутентификация означает проверку принадлежности субъекту доступа предъявленного им идентификатора, подтверждение подлинности.

Паролем называют комбинацию символов (букв, цифр, специальных знаков), которая должна быть известна только владельцу пароля и, возможно, администратору системы безопасности

В современных операционных системах ПЭВМ заложена возможность использования пароля. Пароль хранится в специальной памяти, имеющей автономный источник питания. Сравнение паролей осуществляется до загрузки ОС. Защита считалась эффективной, если злоумышленник не имеет возможности отключить автономное питание памяти, в которой хранится пароль.

10. Нормативно-правовое обеспечение защиты информации. Основные нормативно-правовые акты, принятые в России и за рубежом.

Основные нормативно-правовые акты в области защиты ин­формации принятые в России, определяющие порядок разработки, внедрения и эксплуатации защищенных автоматизированных сис­тем, а также сведения об их прототипах в США, представлены в таблице

США Россия
1965 г. - закон Брукса 1987г.- Инструкция № 0126
1977 г. - Установлен единый стандарт шифрования DES на территории США 1994 г.- Стандарт шифрования Clipper 1989г. - Установлен стандарт шифрования ГОСТ 28147-89
1978 г. - Закон о противодейст­вии иностранным разведкам 1984г. - Положение по проти­водейст-вию иностранным техническим разведкам (Постановление Совмина СССР № 733-162)
1979 г. - Политика в области за­щиты правительственных линий связи РД/NSC 24 (директива президента и Совета национальной безопасности) 1990г. - Положение о разработке изготовлении и эксплуатации шифровальной техники, государственных и ведомственных систем связи и управления (Постановление Совмина СССР № 439-67)
1984 г. - Политика в области защиты правительственных компьюте­ров и линий связи NSDD 145. 1992 г - Концепция защиты СВТ и АС от НСД к информации
1985 г.- Критерии оценки безо­пасности компьютерных систем ("Оранжевая книга") 1992 г.- Руководящий документ ГТК "Концепция защи­ты СВТ и АС от НСД к информации"
1985 г. - Закон о компьютерной безопасности HR 145 1995".-Закон "Об информации, информатизации и защите информации”

11. Основные методы реализации угроз информационной безопасности.

Стихийные бедствия и аварии чреваты наиболее разрушительными последствиями для КС, т.к. последние подвергаются физическому разрушению, информация утрачивается или доступ к ней становится невозможен.

Сбои и отказы сложных систем неизбежны. В результате сбоев и отказов нарушается работоспособность технических средств, уничтожаются и искажаются данные и программы, нарушается алгоритм работы устройств. Нарушения алгоритмов работы отдельных узлов и устройств могут также привести к нарушению конфиденциальности информации.

Ошибки при разработке КС, алгоритмические и программные ошибки приводят к последствиям, аналогичным последствиям сбоев и отказов технических средств. Кроме того, такие ошибки могут быть использованы злоумышленниками для воздействия на ресурсы КС. Особую опасность представляют ошибки в операционных системах (ОС) и в программных средствах защиты информации.

Согласно данным Национального Института Стандартов и Технологий США (NIST) 65% случаев нарушения безопасности информации происходит в результате ошибок пользователей и обслуживающего персонала. Некомпетентное, небрежное или невнимательное выполнение функциональных обязанностей сотрудниками приводят к уничтожению, нарушению целостности и конфиденциальности информации, а также компрометации механизмов защиты.

Характеризуя угрозы информации в КС, не связанные с преднамеренными действиями, в целом, следует отметить, что механизм их реализации изучен достаточно хорошо, накоплен значительный опыт противодействия этим угрозам.

В качестве источников нежелательного воздействия на информационные ресурсы по-прежнему актуальны методы и средства шпионажа и диверсии, которые использовались и используются для добывания или уничтожения информации на объектах, не имеющих КС. К методам шпионажа и диверсий относятся: * подслушивание;

* визуальное наблюдение;

* хищение документов и машинных носителей информации;

* хищение программ и атрибутов системы защиты;

* подкуп и шантаж сотрудников;

* сбор и анализ отходов машинных носителей информации;

* поджоги;

* взрывы.

Термин «несанкционированный доступ к информации» (НСДИ) определен как доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств вычислительной техники или автоматизированных систем.

Под правилами разграничения доступа понимается совокупность положений, регламентирующих права доступа лиц или процессов (субъектов доступа) к единицам информации (объектам доступа).

Несанкционированный доступ к информации возможен только с использованием штатных аппаратных и программных средств в следующих случаях:

* отсутствует система разграничения доступа;

* сбой или отказ в КС;

*ошибочные действия пользователей или обслуживающего персонала компьютерных систем;

* ошибки в СРД;

* фальсификация полномочий.

Процесс обработки и передачи информации техническими средствами КС сопровождается электромагнитными излучениями в окружающее пространство и наведением электрических сигналов в линиях связи, сигнализации, заземлении и других проводниках. Они получили названия побочных электромагнитных излучений и наводок (ПЭМИН). С помощью специального оборудования сигналы принимаются, выделяются, усиливаются и могут либо просматриваться, либо записываться в запоминающих устройствах. Дальность удовлетворительного приема таких сигналов при использовании дипольной антенны составляет 50 метров. Использование направленной антенны приемника позволяет увеличить зону уверенного приема сигналов до 1 км. Восстановление данных возможно также путем анализа сигналов излучения неэкранированного электрического кабеля на расстоянии до 300 метров.

Электромагнитные излучения используются злоумышленниками не только для получения информации, но и для ее уничтожения.

Большую угрозу безопасности информации в КС представляет несанкционированная модификация алгоритмической, программной и технической структур системы. Несанкционированная модификация структур может осуществляться на любом жизненном цикле КС. Несанкционированное изменение структуры КС на этапах разработки и модернизации получило название «закладка». Алгоритмические, программные и аппаратные «закладки» используются либо для непосредственного вредительского воздействия на КС, либо для обеспечения неконтролируемого входа в систему. Программные и аппаратные «закладки» для осуществления неконтролируемого входа в программы, использование привилегированных режимов работы (например, режимов операционной системы), обхода средств защиты информации получили название «люки».

Одним из основных источников угроз безопасности информации в КС является использование специальных программ, получивших общее название «вредительские программы».

В зависимости от механизма действия вредительские программы делятся на четыре класса:

«Логические бомбы» - это программы или их части, постоянно находящиеся в ЭВМ или вычислительных системах (ВС) и выполняемые только при соблюдении определенных условий.

«Червями» называются программы, которые выполняются каждый раз при загрузке системы, обладают способностью перемещаться в ВС или сети и самовоспроизводить копии. Лавинообразное размножение программ приводит к перегрузке каналов связи, памяти и, в конечном итоге, к блокировке системы.

«Троянские кони» - это программы, полученные путем явного изменения или добавления команд в пользовательские программы. При последующем выполнении пользовательских программ наряду с заданными функциями выполняются несанкционированные, измененные или какие-то новые функции.

«Компьютерные вирусы» - это небольшие программы, которые после внедрения в ЭВМ самостоятельно распространяются путем создания своих копий, а при выполнении определенных условий оказывают негативное воздействие на КС.

12. Основные положения и классы защищенности «Оранжевой книги» МО США.

OK принята стандартом в 1985 г. Министерством обороны США (DOD). Полное название документа "Department of Defense Trusted Computer System Evaluation Criteria".

OK предназначается для следующих целей:

1. Предоставить производителям стандарт, устанавливающий, какими средствами безопасности следует оснащать свои новые и планируемые продукты, чтобы поставлять на рынок доступные системы, удовлетворяющие требованиям гарантированной защищенности (имея в виду, прежде всего, защиту от раскрытия данных) для использования при обработке ценной информации.

2. Предоставить DOD метрику для военной приемкии оценки защищенности ЭСОД, предназначенных для обработки служебной и другой ценной информации.

3. Обеспечить базу для исследования требований к выбору защищенных систем.

Рассматривают два типа оценки:

* без учета среды, в которой работает техника,

* в конкретной среде (эта процедура называется аттестованием).

Во всех документах DOD, связанных с ОК, принято одно понимание фразы обеспечение безопасности информации. Это понимание принимается как аксиома и формулируется следующим образом: безопасность= контроль за доступом.

Аксиома. Система обработки данных (СОД) называется безопасной, если она обеспечивает, контроль за доступом информации так, что только надлежащим образом уполномоченные лица или процессы, которые функционируют от их имени, имеют право читать, писать, создавать или уничтожать информацию.





Дата публикования: 2015-02-03; Прочитано: 1036 | Нарушение авторского права страницы | Мы поможем в написании вашей работы!



studopedia.org - Студопедия.Орг - 2014-2024 год. Студопедия не является автором материалов, которые размещены. Но предоставляет возможность бесплатного использования (0.017 с)...