Компьютерные вирусы как угроза информационной безопасности

РЕФЕРАТ по информатике КОМПЬЮТЕРНЫЕ ВИРУСЫ КАК УГРОЗА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Содержание Введение 1. Информационная безопасность 2. Угроза информационной безопасности 3. Классификация компьютерных вирусов 3.1 Загрузочные вирусы 3.2 Файловые вирусы 3.3 Файлово-загрузочные вирусы 8 3.4
Сетевые вирусы 3.5 Макро-вирусы 3.6 Резидентные вирусы 3.7 Нерезидентные вирусы 4. Методы обеспечения информационной безопасности 4.1 Программы-детекторы 4.2 Программы-доктора 4.3 Программы-ревизоры (инспектора) 4.4 Программы-фильтры (мониторы) 4.5 Вакцины или иммунизаторы 4.6 Сканер 14 Заключение 15
Список литературы 16 Введение Компьютеры стали настоящими помощниками человека и без них уже не может обойтись ни коммерческая фирма, ни государственная организация. Однако в связи с этим особенно обострилась проблема защиты информации. Вирусы, получившие широкое распространение в компьютерной технике, взбудоражили весь мир. Многие пользователи компьютеров обеспокоены слухами о том, что с помощью компьютерных вирусов злоумышленники
взламывают сети, грабят банки, крадут интеллектуальную собственность Сегодня массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением самовоспроизводящихся программ-вирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информации. Все чаще в средствах массовой информации появляются сообщения о различного рода пиратских проделках
компьютерных хулиганов, о появлении все более совершенных, саморазмножающихся программ. Несмотря на принятые во многих странах законы о борьбе с компьютерными преступлениями и разработку специальных программных средств защиты от вирусов, количество новых программных вирусов постоянно растет. Это требует от пользователя персонального компьютера знаний о природе вирусов, способах заражения вирусами и защиты от них. 1. Информационная безопасность Под информационной безопасностью понимается защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре. Задачи информационной безопасности сводятся к минимизации ущерба, а также к прогнозированию и предотвращению таких воздействий. Что угрожает информационной безопасности? Есть несколько факторов: действия, осуществляемые авторизованными пользователями; "электронные"
методы воздействия, осуществляемые хакерами; спам; "естественные" угрозы. Но более подробно в работе рассматривается такая угроза как компьютерные вирусы. Борьбой с компьютерными вирусами профессионально занимаются сотни или тысячи специалистов в десятках, а может быть, сотнях компаний. Казалось бы, тема эта не настолько сложна и актуальна, чтобы быть объектом такого пристального внимания. Однако это не так. Компьютерные вирусы были и остаются одной из наиболее
распространенных причин потери информации. Несмотря на огромные усилия конкурирующих между собой антивирусных фирм, убытки, приносимые компьютерными вирусами, не падают и достигают астрономических величин в сотни миллионов долларов ежегодно. Эти оценки явно занижены, поскольку известно становится лишь о части подобных инцидентов. При этом следует иметь в виду, что антивирусные программы и «железо» не дают полной гарантии защиты от вирусов. Случается так, что пользователи и профессионалы-программисты часто не имеют даже
навыков «самообороны», а их представления о вирусе порой являются настолько поверхностными, что лучше бы их представлений и не было. 2. Угроза информационной безопасности Одной из самых опасных на сегодняшний день угроз информационной безопасности являются компьютерные вирусы. Почему вирусы? Поскольку вирусы не возникают сами по себе в результате электромагнитных коллизий, а создаются людьми, то для ответа на этот вопрос следует разобраться в психологии тех индивидуумов, которые создают "вредное" программное обеспечение, в обиходе именуемое "вирусами". Наиболее вероятными причинами, толкающими вирусо-писателей на создание и распространение вредоносного программного обеспечения являются следующие: – обычное юношеское хулиганство, попытки самоутверждения на основе достигнутого интеллектуального уровня. Фактически подобное компьютерное хулиганство ничем не отличается от обычного уличного хулиганства, за исключением того, что "самоутверждение"
происходит на разных аренах — либо в подворотне, либо в сети. И страдают от него разные люди — либо прохожие, либо сетевые соседи. А ущерб наносится либо стенам и витринам, либо программному обеспечению на зараженном компьютере – мошенничество с целью присвоения ресурсов жертвы: незаметное управление пораженным компьютером, воровство паролей доступа в Интернет, средств с "кошельков"
WebMoney и даже кодов доступа к персональным банковским счетам (в том случае, если жертва использует данный сервис). В случае с атакой корпоративных сетей речь идет скорее уже о шпионаже: как правило, это проникновение в сеть с целью присвоения конфиденциальной информации, представляющей финансовую ценность Естественная "среда обитания" хулиганов и мошенников всех мастей подразумевает под собой гарантированную анонимность, поскольку ни те, ни другие не ставят перед собой задачу отвечать в будущем за свои действия.
И современная сеть как нельзя лучше для этого приспособлена, к сожалению. 3. Классификация компьютерных вирусов В зависимости от проявления и дальнейшего поведения вирусы условно можно разделить на следующие группы: «черви», троянские кони, программы группы риска, непосредственно вирусы. Вирусы классифицируются по следующим основным признакам: 1. среда обитания 2. способ заражения 3. степень воздействия 4. особенности алгоритма работы По среде обитания вирусы можно разделить на: 1. файловые 2. загрузочные 3. файлово-загрузочные 4. сетевые 5. макро-вирусы По способу заражения вирусы делятся на: 1. резидентные 2. нерезидентные По степени воздействия вирусы можно разделить на следующие виды: 1. неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках. Действия таких вирусов проявляются в каких-либо графических или звуковых эффектах 2. опасные
вирусы, которые могут привести к различным нарушениям в работе компьютера 3. очень опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска. По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия. Простейшие вирусы – паразитические, они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены. Можно отметить вирусы-репликаторы, называемые червями, которые распространяются
по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии. Известны вирусы-невидимки, называемые стелс-вирусами, которые очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска. Наиболее трудно обнаружить вирусы-мутанты, содержащие алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся
цепочки байтов. Имеются и так называемые квазивирусные или «троянские» программы, которые хотя и не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков. 3.1 Загрузочные вирусы Загрузочные вирусы заражают загрузочный (boot) сектор флоппи-диска и boot-сектор или Master Boot Record (MBR) винчестера. Принцип действия загрузочных вирусов основан на алгоритмах запуска операционной системы при включении или перезагрузке компьютера – после необходимых тестов установленного оборудования программа системной загрузки считывает первый физический сектор загрузочного диска (A:, C: или CD-ROM в зависимости от параметров, установленных в BIOS Setup) и передает на него управление. 3.2 Файловые вирусы К данной группе относятся вирусы, которые при своем размножении тем или иным способом используют файловую
систему какой-либо или каких-либо ОС. Существуют вирусы, заражающие файлы, которые содержат исходные тексты программ, библиотечные или объектные модули. Возможна запись вируса и в файлы данных, но это случается либо в результате ошибки вируса, либо при проявлении его агрессивных свойств. 3.3 Файлово-загрузочные вирусы Очень часто встречаются комбинированные вирусы, объединяющие свойства файловых и загрузочных.
Широко был распространен файлово-загрузочный вирус OneHalf, заражающий главный загрузочный сектор (MBR) и исполняемые файлы. Основное разрушительное действие – шифрование секторов винчестера. При каждом запуске вирус шифрует очередную порцию секторов, а, зашифровав половину жесткого диска, радостно сообщает об этом. Основная проблема при лечении данного вируса состоит в том, что недостаточно
просто удалить вирус из MBR и файлов, надо расшифровать зашифрованную им информацию. Вирус OneHalf использует различные механизмы маскировки. Он представляет собой стелс-вирус и при распространении применяет полиморфные алгоритмы. 3.4 Сетевые вирусы К сетевым относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей.
Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. «Полноценные» сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней мере, «подтолкнуть» пользователя к запуску зараженного файла. 3.5 Макро-вирусы Макро-вирусы (macro viruses) являются программами на языках (макро-языках), встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). Для своего размножения такие вирусы используют возможности макро-языков и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие. Наибольшее распространение получили макро-вирусы для Microsoft Word, Excel и Office. Существуют также макро-вирусы, заражающие документы баз данных Microsoft Access. 3.6 Резидентные вирусы Под термином "резидентность" (DOS’овский термин
TSR – Terminate and Stay Resident) понимается способность вирусов оставлять свои копии в системной памяти, перехватывать некоторые события (например, обращения к файлам или дискам) и вызывать при этом процедуры заражения обнаруженных объектов (файлов и секторов). Таким образом, резидентные вирусы активны не только в момент работы зараженной программы, но и после того, как программа закончила свою работу. Резидентные копии таких вирусов остаются жизнеспособными
вплоть до очередной перезагрузки, даже если на диске уничтожены все зараженные файлы. Часто от таких вирусов невозможно избавиться восстановлением всех копий файлов с дистрибутивных дисков или backup-копий. Резидентная копия вируса остается активной и заражает вновь создаваемые файлы. То же верно и для загрузочных вирусов — форматирование диска при наличии в памяти резидентного вируса не всегда вылечивает диск, поскольку многие резидентные вирусы заражают диск повторно после того, как
он отформатирован. 3.7 Нерезидентные вирусы Нерезидентные вирусы, напротив, активны довольно непродолжительное время – только в момент запуска зараженной программы. Для своего распространения они ищут на диске незараженные файлы и записываются в них. После того, как код вируса передает управление программе – носителю, влияние вируса на работу операционной системы сводится к нулю вплоть до очередного запуска какой-либо зараженной программы. Таким образом, нерезидентные вирусы являются опасными только во время выполнения инфицированной программы, когда они проявляют свои деструктивные возможности или создают свои копии. Файлы, пораженные такими вирусами, обычно легче поддаются обнаружению и лечению, чем файлы, содержащие резидентный вирус. 4. Методы обеспечения информационной безопасности По убеждению экспертов, задача обеспечения информационной безопасности должна решаться системно.
Это означает, что различные средства защиты (аппаратные, программные, физические, организационные и т. д.) должны применяться одновременно и под централизованным управлением. При этом компоненты системы должны "знать" о существовании друг друга, взаимодействовать и обеспечивать защиту как от внешних, так и от внутренних угроз. Современные антивирусные технологии позволяют выявить практически все уже известные вирусные программы
через сравнение кода подозрительного файла с образцами, хранящимися в антивирусной базе. Кроме того, разработаны технологии моделирования поведения, позволяющие обнаруживать вновь создаваемые вирусные программы. Обнаруживаемые объекты могут подвергаться лечению, изолироваться (помещаться в карантин) или удаляться. Защита от вирусов может быть установлена на рабочие станции, файловые и почтовые сервера, межсетевые экраны, работающие под практически любой из распространенных операционных систем, на процессорах
различных типов. Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры. Главным оружием в борьбе с вирусами являются антивирусные программы. Они позволяют не только обнаружить вирусы, в том числе вирусы, использующие различные методы маскировки, но и удалить их из компьютера. Последняя операция может быть достаточно сложной и занять некоторое время. Существует несколько основополагающих методов поиска вирусов, которые применяются антивирусными программами. Наиболее традиционным методом поиска вирусов является сканирование. Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов антивирусных программ: 1. программы-детекторы 2. программы-доктора или фаги 3. программы-ревизоры (инспектора) 4. программы-фильтры (мониторы) 5. программы-вакцины или иммунизаторы 6. сканер 4.1
Программы-детекторы Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ. 4.2 Программы-доктора Программы-доктора или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но
и «лечат» их, то есть удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, то есть программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. 4.3 Программы-ревизоры (инспектора) Программы-ревизоры (инспектора) относятся к самым надежным средствам защиты от вирусов.
Ревизоры (инспектора) проверяют данные на диске на предмет вирусов-невидимок, изучают, не забрался ли вирус в файлы, нет ли посторонних в загрузочном секторе жесткого диска, нет ли несанкционированных изменений реестра Windows. Причем инспектор может не пользоваться средствами операционной системы для обращения к дискам (а значит, активный вирус не сможет это обращение перехватить). 4.4 Программы – фильтры (мониторы) Программы-фильтры (мониторы) или «сторожа» представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться: 1. попытки коррекции файлов с расширениями COM, EXE 2. изменение атрибутов файла 3. прямая запись на диск по абсолютному адресу 4. запись в загрузочные сектора диска 5. загрузка резидентной программы. 4.5 Вакцины или иммунизаторы Вакцины или иммунизаторы – это резидентные программы, предотвращающие
заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение. 4.6 Сканер Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти,
а также поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются так называемые «маски». Маской вируса является некоторая постоянная последовательность кода, специфичная для конкретного вируса. Если вирус не содержит постоянной маски или длина этой маски недостаточно велика, то используются другие методы. Заключение Зачем надо защищаться? Ответов на этот вопрос может быть великое множество.
Все зависит от конкретного профиля Вашего рода занятий. Для одних главной задачей является предотвращение утечки информации к конкурентам. Другие главное внимание могут уделять целостности информации. Например, для банка необходимо обеспечить достоверность платежных поручений, то есть, чтобы злоумышленник не мог внести изменения в платежное поручение. Для третьих компаний на первое место поднимается задача безотказной работы информационных систем (например, для провайдеров Интернет). Известны случаи, когда вирусы блокировали работу организаций и предприятий. Более того, несколько лет назад был зафиксирован случай, когда компьютерный вирус стал причиной гибели человека – в одном из госпиталей Нидерландов пациент получил летальную дозу морфия по той причине, что компьютер был заражен вирусом и выдавал неверную информацию.
Из всего вышесказанного можно смело сделать вывод, что необходимость защиты от компьютерных вирусов на данный момент стоит на первом месте. Если правильно выбирать антивирусное программное обеспечение и регулярно обновлять его, можно избежать заражения вирусом и соответственно всех его последствий. Список литературы 1. Козлов Д.А Парандовский А.А Парандовский А.К. Энциклопедия компьютерных вирусов. – М.: «СОЛОН-
Р», 2001. 2. Левин А.Ш. Самоучитель полезных программ. 4-е издание. – СПБ.: Питер, 2005. 3. Мостовой Д.Ю. Современные технологии борьбы с вирусами – Мир ПК №8. 2001. 4. Островский С. Компьютерные вирусы Информатика, январь 2002. 5. http://www.viruslist.com – Все угрозы. 6. http://www.bytemag.ru – BYTE/Россия –
Что нужно знать о компьютерных вирусах. 7. http://www.wasm.ru – Вирусология.