Стандартною реакцією користувача в таких випадках є повторний запуск ЕОМ, тобто вимкнення та нове вмикання ЕОМ. За умови появи цих ознак, користувач, в залежності від рівня своєї компетентності та встановленого володарем або власником інформаційних ресурсів порядку використання ЕОМ, або намагається вирішити проблеми самостійно, або звертається до адміністратора системи. Зрозуміло, що в цей момент користувач та адміністратор системи найбільше зацікавлені у відновленні працездатності системи та ліквідації втрат інформації, ніж фіксації ознак протиправних дії з ЕОМ. В цьому випадку виявлення перших ознак комп’ютерних злочинів під час розслідування можуть знайти відбиток у свідченнях свідків (за винятком випадків, коли мають місце фізичні пошкодження ЕОМ). Перші випадки проникнення в ЕОМ, де зберігається не дуже важлива інформація, сторонніх осіб чи КВП не викликає у адміністратора активних дій. Лише повторення таких випадків ініціює активний пошук джерела проблем та застосування заходів протидії. Більшість сучасних операційних систем забезпечують режим колективного доступу до ресурсів окремої ЕОМ і приєднання локальної ЕОМ до інших ЕОМ, перефірійних приладів та мереж ЕОМ. У складі таких операційних систем містяться засоби розділення ресурсів між окремими користувачами (категоріями користувачів) та засоби контролю з боку адміністратора системи за діями певного користувача в області ресурсів, які йому надані. Володарям або власникам інформаційних ресурсів, які визначають порядок дій, доцільно внутрішніми актами встановити обов’язок фіксації таких ознак.
Ефекти, які можуть бути викликані КВП, кваліфікуються за наступними основними категоріями:
- відмова комп’ютера від виконання стандартної функції;
- виконання комп’ютером дій, які не передбачені програмою;
- руйнування окремих файлів, управляючих блоків та програм, а іноді всієї файлової системи (в тому числі шляхом знищення файлів, форматирування диску, тощо);
- видача неправдивих, дратівливих, непристойних або відволікаючих повідомлень;
- створення сторонніх звукових та візуальних ефектів;
- інсценування помилок або збоїв у програмі або в операційній системі, перевантаження або “зависання” програм чи систем;
- блокування доступу до системних ресурсів;
- імітація збоїв внутрішніх та переферійних апаратних пристроїв;
- прискорення зносу обладнання або спроби його ушкодження.
Під час виникнення “вірусних” проблем з окремою ЕОМ, яка входить до складу мережі, адміністратор мережі намагається локалізувати цю ЕОМ з метою недопущення розповсюдження КВП у мережі, виявлення та ліквідації цієї КВП. Одночасно здійснюється пошук джерел проникнення КВП до ЕОМ. Найчастішим випадком проникнення “вірусу” до системи є робота користувача з інфікованими дискетами. Тому адекватною реакцією адміністратора системи є фізичне закінчення роботи всіх користувачів системи з дисководами і вимога перевірки всіх дискет, які належать користувачам. Іноді остання дія дає результат і за поясненням користувача, який приніс інфіковану “вірусом” дискету, вдається встановити, де саме відбулося зараження. Успішне запобігання зараження передбачає поєднання методів безпечної обробки данних та притягнення третьої сторони, наприклад, використання антивірусного продукту. За допомогою спеціальних антивірусних програм уявляється можливим ідентифікувати КВП, тобто встановити тип, а іноді й найменування КВП. Надалі маємо абстрактну можливість прослідкувати крок за кроком шляхи його “доставки” до конкретної ЕОМ.
На підставі вищезазначеного слід відмітити, що для успішного запобігання вірусу необхідно зробити перший крок – пізнати свого ворога.
Список літератури: