Защита от вредоносного программного обеспечения в компьютерных сетях

Лекция 4. Защита от вредоносного программного обеспечения

1.1. Виды и классификация вредоносного программного

Вредоносное программное обеспечение − это такое программное

обеспечение, в результате действия которого в компьютерной системе осуществляются непредусмотренные пользователем действия, наносящие вред ему или другим субъектам.

Угрозы безопасности компьютерных систем, которые могут быть реализованы вследствие воздействия вредоносного программного обеспечения, в самом общем виде можно представить следующим образом:

• нарушение целостности, доступности и конфиденциальности информации, хранящейся и обрабатываемой в компьютерной системе;

• нештатное поведение аппаратных средств и программного обеспечения;

• использование компьютерной системы в интересах злоумышленников.

К вредоносному программному обеспечению относятся:

• классические компьютерные вирусы (Vuruses);

• троянские программы (Trojans);

• логические бомбы (Logic Bomb);

• почтовые (кластерные) бомбы;

• другие программы, наносящие заведомый вред компьютеру, на котором они запускаются на выполнение, или другим компьютерам в сети.

Компьютерный вирус – самовоспроизводящаяся программа (или сегмент кода), которая может присоединяться к другим программам и файлам, способная приводить к нарушению целостности и доступности информации путем ее уничтожения, модификации или блокирования, а также вызывать снижение эффективности работы или повреждение компьютерной системы. Компьютерные вирусы могут распространять свои копии по

ресурсам локального компьютера с целью последующего запуска своего кода при каких-либо действиях пользователя.

Компьютерные вирусы не могут самостоятельно распространяться в компьютерных сетях (в отличие от сетевых червей). Для заражения компьютера вирусом необходима его активация, что возможно, например, при копировании на компьютер зараженных файлов с носителя или при запуске зараженного вирусом вложения к электронному письму.

Сетевой червь – программа, способная к самораспространению путем многократного самокопирования и передаче в компьютерных сетях. Черви используют для своего распространения компьютерные и мобильные сети так же, как вирусы используют файлы, и могут рассматриваться как разновидность компьютерных вирусов. Одной из отличительных особенностей сетевых червей является возможность их чрезвычайно

быстрого распространения, что может приводить к массовым компьютерным вирусным эпидемиям. Основной путь распространения сетевых червей – электронная почта (почтовые черви – mail worms), но также черви могут использовать файлообменные (P2P) и IRC-сети, LAN, сети обмена данными между мобильными устройствами (смартфонами, карманными компьютерами) и т. д.

Большинство червей распространяется в виде файлов как вложение в электронное письмо, ссылка на зараженный файл на Web- или FTP-ресурсе, в ICQ- и IRC-сообщениях, файл в каталоге обмена P2P и т. д. Некоторые, так называемые «бесфайловые» или «пакетные» черви, распространяются в виде сетевых пакетов и, проникая непосредственно в память компьютера, активизируют свой код [1].

Троянская программа (программа «Троянский конь», троян, троянец) компьютерная программа, скрытно осуществляющая несанкционированные пользователем действия. «Классический» троян запускает скрытую внутри какой-либо легальной программы несанкционированную функцию, обеспечивающую выполнение действий, не предусмотренных автором легальной программы. Как правило, трояны используются как скрытые программы, предназначенные для несанкционированного получения обрабатываемой или хранимой в компьютере информации и передачи ее злоумышленнику, что может приводить к потере конфиденциальности информации. Например, троянcкие программы-клавиатурные мониторы способны перехватывать все нажатия клавиш клавиатуры, записывать эту информацию и передавать ее по сети. Некоторые разновидности троянов могут вызывать уничтожение или модификацию информации, нарушение работоспособности компьютера, использование ресурсов компьютера в несанкционированных целях. Существуют разновидности троянов, не

Читайте также:  Разработка сетевой модели системы

приносящие вреда зараженному компьютеру, но наносящие ущерб удаленным компьютерным системам, как, например, троянские программы, разработанные для массированных DoS-атак (Denial of Service – отказ в обслуживании) на удалённые ресурсы сети. Как и черви, троянские программы иногда рассматриваются как отдельная разновидность компьютерных вирусов.

Программы-шпионы – программы, предназначенные для скрытого сбора и передачи по компьютерным сетям информации о пользователе компьютера (вплоть до электронных почтовых адресов) и его действиях в сети (например, адреса посещаемых веб-сайтов и адреса электронной почты).

Программы-шпионы могут содержаться внутри исполняемых файлов или файлов данных и попадать в компьютер аналогично вирусам. Однако так как размер таких программ существенно превышает размер вирусов, то их скрытное размещение внутри других файлов часто затруднительно. Чаще всего шпионские программы содержатся в дистрибутивах программ и устанавливаются на компьютер при их установке, являясь, по существу, троянскими программами. Если при этом шпионская программа устанавливается как самостоятельная программа (с созданием собственной папки, регистрацией в реестре и т. д.), то она продолжает функционировать, даже при удалении программы, в дистрибутиве которой она была спрятана. Шпионские модули содержатся в таких широко распространенных программах, как Go!Zilla, ReGet, GetRight, CuteFTP, NetMonitor, NetCaptor, NetSonic и др..

Логическая бомба − программа, выполняемая периодически или однократно в определенный момент времени при наступлении определенных условий. Целью логической бомбы является нарушение работы компьютерной системы, уничтожение, модификация или блокирование информации. Для запуска логической бомбы необходимо наступление определенного события: заданной даты, нажатие определенных клавиш или

срабатывание внутреннего таймера программы. В результате действия логических бомб возможны как сравнительно неопасные проявления такие, как, например, выведение на экран монитора некоторого сообщения, так и крайне опасные − блокирование информационной системы или удаление файлов или программ. В отличие от вирусов логические бомбы не делают своих копий. Логическая бомба может быть внедрена в компьютер при помощи электронной почты, вместе с вирусом или троянской программой,

также возможно внедрение логической бомбы в программу еще на этапе ее разработки.

Читайте также:  Локальные вычислительные сети функции и основные характеристики

Архивная бомба − специальный вид архива, предназначенный для нарушения работы компьютерной системы путем заполнения памяти большим количеством бесполезных данных, образующихся при их разархивировании. Переполнение диска может приводить к замедлению или приостановке работы компьютерной системы. Срабатывание архивной

бомбы на файловых или почтовых серверах, использующих какую-либо систему автоматической обработки входящей информации, может полностью блокировать их работу.

Можно выделить три типа архивных бомб :

• некорректный заголовок архива или испорченные данные в архиве, способные вызывать сбой при выполнении операции разархивирования;

• повторяющиеся данные в архивируемом файле большого размера, которые позволяют сильно сжать этот файл в архив малого размера (например, 5 Гбайт данных могут быть упакованы в 200КБ RAR-архива или в 480 Кбайт ZIP-архива);

• одинаковые файлы в архиве, обеспечивающие при использовании специальных методов архивации очень небольшой размер архива при большом размере разархивированного файла (например, существуют приемы упаковки 10100 одинаковых файлов в 30 Кбайт RAR или 230 Кбайт ZIP-архив).

Почтовая (кластерная) бомба − программа, предназначенная для блокирования почтового сервера или электронного почтового ящика путем посылки очень большого числа электронных почтовых сообщений в течение короткого промежутка времени на какой-либо почтовый ящик или через определенный почтовый сервер, что приводит к переполнению почтового ящика или перегрузке сервера. Для отправления потока сообщений могут использоваться специальные программы, осуществляющие генерацию

потока почтовых сообщений, либо интернет-серверы, осуществляющие почтовые рассылки и позволяющие подписаться на них посредством заполнения формы на сайте. В последнем случае информация с электронным почтовым адресом жертвы с помощью специализированного программного обеспечения автоматическое вносится в соответствующие формы на множестве сайтов, предлагающих услуги рассылки. Поток почтовых сообщений формируется из запросов серверов с просьбой подтвердить полученную информацию о подписке на рассылку.

Хакерские утилиты программы-утилиты для организации атак на компьютерные системы, а также создания или совершенствования вредоносного программного обеспечения.

К вредоносному программному обеспечению могут быть отнесены и так называемые Ad Ware – программы, обеспечивающие вывод на экран информации рекламного характера, обычно представленной в виде всплывающих окон. Некоторые из таких программ способны выполнять и функции, свойственные шпионским про граммам, передавая информацию о персональных данных пользователя.

Вредоносные программы, прежде всего, троянские и шпионские программы и логические бомбы могут рассматриваться как программные закладки.

Программная закладка − это программа или фрагмент программы, скрытно внедряемый в компьютерную систему и позволяющий злоумышленнику, внедрившему его, осуществлять несанкционированный доступ к тем или иным ресурсам компьютерной системы или выполнять иные функции.

Отдельным и весьма специфическим классом вредоносного программного обеспечения являются мобильные вирусы, действующие в сотовых сетях связи и обладающие рядом существенных особенностей.

Читайте также:  Архитектура компьютерных сетей задачи

Поэтому мобильные вирусы более целесообразно рассматривать как одну из угроз сетям связи, а не компьютерным системам.

Основными причинами создания и распространения вредоносного программного обеспечения являются хулиганство, стремление к получению материальной выгоды (например, путем кражи персональных данных:

паролей, кодов доступа к банковским активам и т. п.), а также шпионаж,

основанный на получении несанкционированного доступа к конфиденциальной информации. Некоторые виды вредоносного программного обеспечения, например,

логические бомбы, в принципе, могут быть использованы для нанесения

ущерба путем нарушения работы компьютерных систем или серьезного нарушения информационной безопасности.

По назначению, поведению и деструктивными возможностями вредоносное программное обеспечение может быть представлено тремя основными типами .

1. Деструктивное программное обеспечение, представляющее

существенную угрозу для функционирования компьютерных систем и хранящейся и обрабатываемой в них информации:

1) вирусы, заражающие исполняемые файлы операционной системы;

2) черви, распространяющиеся в компьютерных сетях;

3) деструктивные троянские программы, уничтожающие или модифицирующие данные;

4) троянские программы удаленного администрирования («трояны- бекдоры», back door – задняя дверь, черный ход), позволяющие осуществлять удаленный контроль за зараженным компьютером;

5) троянские шпионские программы, отслеживающие и фиксирующие действия пользователя компьютера, например, нажимаемые на клавиатуре клавиши, запускаемые приложения и т. д.;

6) троянские программы, пересылающие информацию, хранящуюся и обрабатываемую в компьютере;

7) логические бомбы, запускаемые при выполнении определенных условий и осуществляющие те или иные деструктивные действия;

8) архивные и почтовые бомбы, действие которых приводит к нарушению работы компьютерных систем, в частности, систем электронной почты;

9) хакерские утилиты, предназначенные для взлома атакуемых компьютерных систем.

2. Нежелательное программное обеспечение, не несущее непосредственной угрозы для компьютерных систем, но выполняющее непредусмотренные и, как правило, нежелательные для пользователя действия. Такими действиями может быть использование ресурсов компьютерной системы в чужих интересах, вывод на экран монитора рекламной информации (например, в виде всплывающих окон) и иные

К нежелательному программному обеспечению относятся :

1) программы-«кликеры» (сlicker), формирующие поток обращений к интернет-ресурсам и тем самым увеличивающие число их посещений;

2) программы-«адвертайзеры» (аdvertizer), показывающие рекламу товаров или услуг;

3) программы-«диалеры» (dialer), предлагающие посетить какой- либо платный ресурс, как правило, порно-сайт;

4) программы-«шутки», сообщающие пользователю об осуществлении нежелательных для него действий (например, об уничтожении данных), которые в действительности не

3. Рискованное программное обеспечение – легальное программное обеспечение, используемое в злоумышленных целях:

1) утилиты удаленного администрирования;

2) утилиты предоставления сетевого сервиса – proxy-серверы, FTP- серверы и т. д.;

3) утилиты работы с сетевыми ресурсами.

Источник

Оцените статью
Adblock
detector