Особливості безпеки комп'ютерних мереж

Матеріал з Вікі ЦДУ
Перейти до: навігація, пошук


Локальні та мережеві атаки

Основною особливістю будь-якої мережевої системи є те, що її компоненти розподілені в просторі, а зв'язок між ними здійснюється фізично, за допомогою мережевих з'єднань (коаксіальний кабель, вита пара, оптоволокно і т. п.), і програмно, за допомогою механізму повідомлень. При цьому всі управляючі повідомлення і дані, що пересилаються між об'єктами розподіленої обчислювальної системи, передаються по мережевих з'єднаннях у вигляді пакетів обміну. До мережевих систем, разом із звичними (локальними) атаками, здійснюваними в межах однієї комп'ютерної системи, застосовується специфічний вид атак, обумовлений розподілом ресурсів і інформації в просторі, - так звані мережеві (або віддалені) атаки (remote або network attacks). Вони характеризуються, по-перше, тим, що зловмисник може знаходитися за тисячі кілометрів від об'єкту, що атакується, і, по-друге, тим, що нападу може піддаватися не конкретний комп'ютер, а інформація, що передається по мережевих з'єднаннях. З розвитком локальних і глобальних мереж саме мережеві атаки стають лідируючими як по кількості спроб, так і по успішності їх застосування, і, відповідно, забезпечення безпеки обчислювальної системи з погляду протистояння мережевим атакам набуває першорядне значення. Під мережевою атакою зазвичай розуміється інформаційна руйнуюча дія на розподілену обчислювальну систему, програмно здійснювана по каналах зв'язку. Таке визначення охоплює обидві особливості мережевих систем - розподіл комп'ютерів і розподіл інформації. Тому далі буде розглянуто два підвиди таких атак - це мережеві атаки на інфраструктуру і протоколи мережі і мережеві атаки на операційні системи та додатки. При цьому під інфраструктурою мережі ми розуміємо систему організації відносин між об'єктами мережі і сервісні служби, що використовуються в мережі, що склалася, а під операційними системами і додатками - все програмне забезпечення, що працює на віддаленому комп'ютері, що тим або іншим чином забезпечує мережеву взаємодію.


Чи можна зробити абсолютно безпечні локальні комп'ютерні мережі? Можливо, це нікому не потрібно?

Функціонування спеціальної системи безпеки комп'ютерної мережі, як правило, направлене на захист активів, що знаходяться усередині неї. Ці активи володіють певною вартістю і схильні до потенційної небезпеки (ризику) деструктивних дій певного типу. У зв'язку з цим побудова системи безпеки комп'ютерної мережі повинна проводитися з використанням результатів аналізу ризиків і прорахунку збитку, одержуваного при втраті активів, що захищаються. Причому очевидно, що вартість системи захисту не повинна перевищувати сукупну вартість активів, що захищаються.

Отже, якщо зробити спробу створення абсолютно безпечної комп'ютерної мережі, тобто захиститися від всіх ризиків (потенційних небезпек), то вартість такої мережі може виявитися нескінченно великою. Крім того, в умовах сучасної вітчизняної дійсності треба буде подолати ряд серйозних технологічних труднощів. Однією з них є, зокрема, недружнє відношення деяких виробників програмно-апаратних систем іноземного виробництва до побудови систем захисту інформації в інформаційних системах і мережах від супротивників деякого класу. До цього класу можна віднести супротивників, діючих від імені найбільших спецслужб. Оскільки основна частина програмно-апаратної підтримки інформаційної системи (мережі) вироблена в провідних західних країнах (розвідувальні служби яких очевидно допомагають один одному), то виробники, що знаходяться на території даних країн, цілком можуть здійснювати сприяння спеціальним службам цих країн. За ситуації, коли супротивниками є спецслужби провідних західних країн, фірми-виробники програмно-апаратної підтримки інформаційної системи є недружніми по відношенню до об'єкту атаки. Це означає, що всі «закладки», «діри», «Троянські коні», недокументовані можливості програмно-апаратної підтримки інформаційної системи, закладені фірмами-виробниками, можуть бути задіяні супротивником даного класу. І навпаки, служби інформаційної безпеки інформаційної системи, швидше за все, не одержать підтримки з боку фірми-виробника в питаннях віддзеркалення загроз з боку такого супротивника.

Виникає нове питання, чи можемо ми в таких умовах будувати досить надійні системи безпеки?


Як діє комп'ютерний вірус?

Комп'ютерні «віруси» – різновид комп'ютерних програм, які розповсюджуються та самовідтворюються, упроваджуючи себе у виконуваний код інших програм або в документи спеціального формату, що містять макрокоманди, такі, як MS Word і Excel. Багато вірусів шкодять даним на заражених комп'ютерах, хоча іноді їх єдиною метою є лише зараження якомога більшої кількості комп'ютерів (див., наприклад, монографію: Безруков Н. Н. Компьютерные віруси. – М.: Наука, 1991).

Ознаки діяльності вірусів на комп'ютерах:
• відео та аудіо ефекти (на екрані монітора несподівано чи періодично з'являються певні графічні заставки, зображення на екрані може видозмінюватися або спотворюватися, комп'ютер може програвати музичні фрагменти);
• робота на комп'ютері істотно уповільнюється;
• деякі програми не працюють або працюють неправильно;
• комп'ютер «зависає» у звичайних ситуаціях;
• вміст деяких файлів на дисках виявляється спотвореним;
• інформація на дисках втрачається;
• втрачається доступ до робочих дисків тощо.
Віруси можуть проникати в обчислювальну систему двома шляхами: по-перше, з інфікованого комп'ютера при копіюванні з нього файлу, що містить вірус; по-друге, при запуску програми, розділеної між кількома комп'ютерами, в тому числі і при завантаженні операційної системи. Зазвичай віруси розміщуються у файлах, які здебільшого керують роботою. Це файли ОС, системних і прикладних програм, драйверів пристроїв, файли об'єктних модулів і бібліотек, дисковий і системний завантажувачі, початкові тексти програм мовами високого рівня.

Види комп'ютерних вірусів

Комп'ютерні віруси класифікуються на :

  1. Мережні які поширюються комп'ютерними мережами.
  2. Файлові які вбудовуються у виконувані файли (найбільш поширений тип вірусів), або створюють файли - двійники (компаньйон - віруси ), або використовують особливості організації файлової системи (link віруси )
  3. Завантажувальні які записують себе або в завантажувальний сектор диска (bootсектор),або сектор, який містить системний завантажник вінчестера (Master Boot Record ), або змінюють покажчик на активний bootсектор
  4. Файлово - завантажувальні які завантажують як файли, так і завантажувальні сектори дисків
  5. Резидентний вірус який у разі інфікування комп'ютер залишає в оперативній пам'яті свою резидентну частину, що потім перехоплює обертання ОС до об'єктів зараження і вбудовується в них. Цей вид віруса міститься в пам'яті і є активним аж до вимикання комп'ютера або перезавантаження ОС
  6. Нерезедентний вірус який зберігає свою активність обмежений час
  7. Безпечні віруси яких вплив обмежується зменшенням вільної пам'яті на диску та графічними, звуковими й іншими ефектами
  8. Небезпечні які можуть призвести до серйозних збоїв у роботі комп'ютера
  9. Дуже небезпечні в яких в алгоритм роботи явно закладено дії, що можуть спричинити втрату програм, знищити дані тощо
  10. Найпростіші віруси (паразитичні) які змінюють уміст файлів і секторів диска ; їх можна достатньо легко виявити і знищити
  11. Віруси - реплікатори так звані хробаки, що поширюються комп'ютерними мережами
  12. Віруси невидимки - стелсвіруси які перехоплюють обертання ОС до уражених файлів і секторів дисків та підставляють замість свого тіла незаражені ділянки диска
  13. Віруси мутанти які містять алгоритм шифрування - розшифрування
  14. Квазивірусні, або «троянські програми» які неспроможні до само розповсюдження, проте дуже небезпечні, оскільки, маскируючись під корисну програму, руйнують завантажувальний сектор і файлову систему дисків


Сьогодення

На сьогодні основний «канал» розповсюдження вірусів – електронна пошта. Хакери і спамери використовують заражені комп'ютери користувачів для розсилки спама або розподілених атак на інформаційні системи.

Деякі виробники антивірусів стверджують, що зараз створення вірусів перетворилося з одиночного хуліганського заняття в серйозний бізнес, що має тісні зв'язки з бізнесом спама і іншими видами протизаконної діяльності. Також називають мільйонні і навіть мільярдні суми збитку від дій вірусів. Згідно оцінкам західних експертів у сфері інформаційних технологій друге місце по числу інцидентів займають правопорушення пов'язані з порушенням конфіденційності інформації. При цьому значне число інцидентів зв'язано з використанням спеціального виду вірусів – spyware, впроваджуваного в інформаційні системи і являються агентом порушника. Як правило, в таких інцидентах йдеться про порушення комерційної таємниці. Програмні агенти, що використовуються порушниками, достатньо прості і, як правило, розраховані на атаку слабо захищених систем, проте подібні методики можна використовувати і для атак на інформаційні системи, що переробляють інформацію, яка містить службову і державну таємниці.

Для реалізації таких атак порушнику потрібно вирішити наступні задачі:

1. Упровадити «закладку» в інформаційну систему.

2. Забезпечити утруднення (виключення) виявлення взаємодії закладки з порушником.

Аналіз відкритих публікацій показує, що впродовж останніх десяти років ведеться активна бородьба за вирішення цих задач. Перша задача якраз і розв'язується самим вірусом. Друга задача розв'язується шляхом використовування для взаємодії нетрадиційних інформаційних (прихованих) каналів, які по своїй природі не можуть бути виявлені і/або блоковані існуючими засобами захисту.
Спроби протидії комп'ютерним вірусам:

  • Профілактика вірусного зараження й зменшення передбачуваної шкоди від такого зараження.
  • Методика використання антивірусних програм, у тому числі знешкодження й видалення відомого вірусу.

Способи виявлення й видалення невідомого вірусу Способи захисту комп'ютера від зараження вірусами, а отже й забезпечити надійне зберігання інформації на дисках:

  • Установити на комп'ютері сучасні антивірусні програми й постійно оновлювати їх версії
  • Перед зчитування з дискет інформації, записаної на інших комп'ютерах, завжди перевіряти ці дискети на наявність вірусів ; перенесення на свій комп'ютер файли в архівіруваному вигляді перевіряти відразу після розархівування на жорстокому диску, обмежуючи ділянку перевірки тільки щойно записаними файлами ; періодично перевіряти на наявність вірусів жорсткі диски комп'ютера, запускаючи антивірусні програми для тестування файлів, пам'яті й системних ділянок
  • Завжди захищати свої дискети від запису під час роботи на інших комп'ютерах, якщо на них не буде провадитися запис інформації
  • Дистрибутивні копії програмного забезпечення необхідно купувати в офіційних продавців
  • Періодично зберігати на зовнішньому носії файли, з якими ведеться робота