Программные средства, работающие с дисками на физическом уровне, предоставляют в некоторых случаях возможность обхода программных средств защиты.
Кроме того, существуют программы, позволяющие создавать ПО, способное производить чтение или запись по абсолютным адресам, а также программ, обеспечивающих просмотр и отладку программных продуктов в режиме дисассемблера, просмотр и редактирование опера-тивной памяти ПЭВМ.
Однако наличие таких программных средств служит для других целей - для восстановления испорченной вирусами или неосторожными действиями пользователей информации. Следовательно, их применение должно быть строго регламентировано и доступно только администратору системы. В последнее время появились методы защиты от анализа программ.
Для создания замкнутой оболочки защиты информации в ПЭВМ и объединения перечисленных средств в одну систему необходимы соответствующие средств управления и контроля. В зависимости от режима использования ПЭВМ - автономного или сетевого (в составе сети - локальной, региональной или глобальной) - они будут носить различный характер.
В автономном режиме могут быть два варианта управления: однопользовательский и многопользовательский. В первом случае пользователь сам выполняет функции управления и контроля и несет ответственность за безопасность своей и доверяемой ему информации.
В многопользовательском режиме перечисленные функции рекомендуется поручить специальному должностному лицу. Им может быть один из пользователей или руководитель работ. При этом, однако, ключи шифрования и информация, закрытая ими другим пользователем, ему могут быть недоступны до момента передачи руководителю работ.
Следует отметить, что в автономном режиме функции контроля ослаблены из-за отсутствия механизма быстрого обнаружения НСД, так как это приходится осуществлять организационными мерами по инициативе человека. Следовательно, многопользовательский режим нежелателен с позиций безопасности и не рекомендуется для обработки важной информации.
В сетевом варианте можно автоматизировать процесс контроля и все перечисленные функции выполнять со специального рабочего места службы безопасности.
В сетевом варианте должностное лицо - пользователь может передавать сообщения и документы другому пользователю по каналам связи, и тогда возникает необходимость выполнять, в интересах безопасности передаваемой информации, дополнительные функции по обеспечению абонентского шифрования и цифровой подписи сообщений.
1.3 Компьютерные вирусы и средства защиты от них.
Защита от компьютерных вирусов - отдельная проблема, решению которой посвящено много исследований.
Для современных вычислительных сетей, состоящих из персональных компьютеров, большую опасность представляют хакеры. Этот термин, первоначально обозначавший энтузиаста-программиста, в настоящее время применяется для описания человека, который использует свои знания и опыт для вторжения в вычислительные сети и сети связи с целью исследования их возможностей, получения секретных сведений или совершения других вредоносных действий.
Деятельность этих лиц представляет серьезную опасность. Например, 3 ноября 1988 г. 6 тыс. рабочих станций и вычислительных систем в США были "заражены" программой-вирусом, относящейся к типу "червь". Эта программа распространялась по сети Internet из-за ошибок в версии операционной системы, управляющей работой данной вычислительной сети. За несколько часов с момента запуска с одного из компьютеров программе-вирусу удалось инфицировать тысячи систем.
1.3.1 Потенциальные угрозы и характер проявления компьютерных вирусов
Компьютерный вирус - это специально написанная небольшая по размерам программа, которая может "приписывать" себя к другие программам (т. е. "заражать" их), а также выполнять различные нежелательные действия на компьютере (например, портить файлы или таблицу размещения файлов на диске, "засоряя" оперативную память, и т. д.). Подобные действия выполняются достаточно быстро, и никаких сообщений при этом на экран не выдается. Далее вирус передает управление той программе, в которой он находится. Внешне работа зараженной программы выглядит так же, как и незараженной.
Некоторые разновидности вируса устроены таким образом, что после первого запуска зараженной этим вирусом программы вирус остается постоянно (точнее до перезагрузки ОС) в памяти компьютера и время от времени заражает файлы и выполняет другие вредные действия на компьютере. По прошествии некоторого времени одни программы перестают работать, другие - начинают работать неправильно, на экран выводятся произвольные сообщения или символы и т. д. К этому моменту, как правило, уже достаточно много (или даже большинство) программ оказываются зараженными вирусом, а некоторые файлы и диски испорченными. Более того, зараженные программы могут быть перенесены с помощью дискет или по локальной сети на другие компьютеры.
Компьютерный вирус может испортить, т. е. изменить любой файл на имеющихся в компьютере дисках, а может "заразить". Это означает, что вирус "внедряется" в эти файлы, т. е. изменяет их так, что они будут содержать сам вирус, который при некоторых условиях, определяемых видом вируса, начнет свою разрушительную работу. Следует отметить, что тексты программ и документов, информационные файлы баз данных, таблицы и другие аналогичные файлы нельзя заразить вирусом: он может их только попортить.
1.3.2 Типичные ошибки пользователя, приводящие к заражению ПЭВМ компьютерными вирусами
Одна из самых грубых и распространенных ошибок при использовании персональных компьютеров - отсутствие надлежащей системы архивирования информации.
Вторая грубая ошибка - запуск полученной программы без ее предварительной проверки на зараженность и без установки максимального режима защиты винчестера с помощью систем разграничения доступа и запуска резидентного сторожа.
Третья типичная ошибка - выполнение перезагрузки системы при наличии установленной в дисководе А дискеты. При этом BIOS делает попытку загрузиться именно с этой дискеты, а не с винчестера, в результате, если дискета заражена бутовым вирусом, происходит заражение винчестера.
Четвертая распространенная ошибка - прогон всевозможных антивирусных программ, без знания типов диагностируемых ими компьютерных вирусов, в результате чего проводится диагностика одних и тех же вирусов разными антивирусными программами.
Одна из грубейших ошибок - анализ и восстановление программ на зараженной операционной системе. Данная ошибка может иметь катастрофические последствия. В частности, при этом могут быть заражены и остальные программы. Например, при резидентном вирусе RCE-1800 (Dark Avenger) запуск программы-фага, не рассчитанной на данный вирус, приводит к заражению всех проверявшихся данной программой загрузочных модулей, поскольку вирус RCE-1800 перехватывает прерывание по открытию и чтению файлов и при работе фага будет заражен каждый проверяемый им файл. Поэтому проверять зараженный компьютер следует только на предварительно загруженной с защищенной от записи дискете эталонной операционной системы, используя только программы, хранящиеся на защищенных от записи дискетах.
В настоящее время широкой популярностью в России пользуются следующие антивирусные средства АО "ДиалогНаука":
• полифаг для "полиморфиков" Doctor Web.
1.3.3 Средства защиты от компьютерных вирусов
Одна из причин, из-за которых стало возможным такое явление, как компьютерный вирус, отсутствие в операционных системах эффективных средств защиты информации от несанкционированного доступа. В связи с этим различными фирмами и программистами разработаны программы, которые в определенной степени восполняют указанный недостаток. Эти программы постоянно находятся в оперативной памяти (являются "резидентными") и "перехватывают" все запросы к операционной системе на выполнение различных "подозрительных" действий, т. е. операций, которые используют компьютерные вирусы для своего "размножения" и порчи информации в компьютере.
При каждом запросе на такое действие на экран компьютера выводится сообщение о том, какое действие затребовано и какая программа желает его выполнять. Пользователь может либо разрешить выполнение этого действия, либо запретить его.
Такой способ защиты не лишен недостатков. Прежде всего резидентная программа для защиты от вируса постоянно занимает какую-то часть оперативной памяти компьютера, что не всегда приемлемо. Кроме того, при частых запросах отвечать на них может надоесть пользователю. И наконец, имеются виды вирусов, работа которых не обнаруживается резидентными программами защиты. Однако преимущества этого способа весьма значительны. Он позволяет обнаружить вирус на самой ранней стадии, когда вирус еще не успел размножиться и что-либо испортить. Тем самым можно свести убытки от воздействий компьютерного вируса к минимуму.
В качестве примера резидентной программы для защиты от вируса можно привести программу VSAFE фирм Carmel и Central Point Software.
Более ранняя диагностика вируса в файлах на диске основана на том, что при заражении и порче вирусом файлы изменяются, а при заражении, как правило, еще и увеличиваются в своем размере. Для проверки того, не изменился ли файл, вычисляется его контрольная сумма — некоторая специальная функция всего содержимого файла. Для вычисления контрольной суммы необходимо прочесть весь файл, а это относительно длительный процесс. В связи с этим, как правило, при обычной проверке на наличие вируса вычисление контрольной суммы производится только для нескольких особо важных файлов, а у остальных файлов проверяется лишь их размер, указанный в каталоге. Подобную проверку наиболее целесообразно производить для файлов на жестком диске. В качестве программ ранней диагностики компьютерного вируса могут быть рекомендованы программы CRCLIST и CRCTEST.