Лекція №3, №4 Технології захисту інформації

План

1. Основі теоретичні положення захисту інформації в комп’ютерних системах

2. Захист комп’ютерних систем від несанкціонованого доступу

3. Поняття про методи криптографічного захисту інформації

4. Захист комп’ютерних систем від вірусів та спаму

Основі теоретичні положення захисту інформації в комп’ютерних системах

Захист інформації – галузь знань, яка має відповідну теорію, що складає її фундаментальне підґрунтя. Теорія захисту інформації – це наука про загальні принципи та методи побудови захищених інформаційно-комунікаційних систем.

Теорія захисту інформації – природнича наука, яка має відповідні аксіоматику, понятійний та формальний апарат. Основним методологічним інструментом теорії захисту інформації, яка оперує складними системами, є методи системного аналізу для вивчення систем і теорії прийняття рішень для розв’язання задач синтезу систем захисту інформації. Всі положення теорії захисту інформації мають базуватися на доказовому підході та відповідати вимогам несуперечності, повноти і розв’язаності.

Несуперечність – властивість теорії, коли перетворення формул не ведуть до виникнення двох і більше результатів, які спростовують один одне. Повнота – властивість теорії, в якій не виникають твердження, що не вдається ні довести ані спростувати. Розв’язаність – властивість теорії, в якій існує єдиний механізм (алгоритм) для визначення істинності або фальшивості будь якого твердження в цієї теорії.

На поточний час в теорії захисту інформації використовуються два підходи для аналізу та синтезу систем безпеки – формальний та неформальний (описовий).

Традиційно формальний підхід теорії захисту інформації складають етапи визначення сукупності політики безпеки, критерію безпеки та моделі безпеки ІКС у формальному вигляді. Важливим етапом формального підходу є проведення доказу відповідності системи безпеки критерію безпеки при дотриманні встановлених правил та обмежень. За умови виконання останнього етапу у теорії захисту інформації говорять про “гарантованість“ захисту інформації. Зазначимо, що у теорії захисту інформації також існують розділи, яки не оперують поняттям гарантованості таки як методи оптимального проектування систем захисту інформації, аналіз ризиків, моделювання окремих процесів захисту та інші.

На поточний час найбільш розвинутими формальними розділами теорії захисту інформації є математичні методи криптографії та моделювання політик безпеки. Сучасний формальний базис теорії захисту інформації у великої мірі сформувався під впливом криптографії, яка почала формуватись значно раніше. Формальний підхід теорії захисту інформації знаходиться у стадії становлення і не може задовольнити всіх завдань, яки виникають при дослідженні та створенні систем захисту інформації. Тому, цій підхід доповнюється традиційним неформальним (описовим) підходом.

Неформальний (описовий) підхід теорії захисту інформації носить характер опису методів і механізмів, які використовуються для захисту інформації в автоматизованих системах.

Цій підхід використовується у випадку, якщо формальні методи з будь-яких причин не можуть бути використані при аналізі і синтезі систем захисту інформації, чи взагалі не розроблені.

Треба зазначити, що теорія захисту інформації до цього часу залишається відносно замкнутою науковою дисципліною у частині розробки та впровадження формальних методів. Розвиток цих методів не завжди є синхронізованим із досягненнями як класичних, так і сучасних наук. Цим пояснюється дуже розповсюджені ілюзії користувачів інформаційних технологій про те, що якість захисту інформації визначається виключно кількістю і надійністю механізмів захисту, а формальний підхід мало що дає.

Теорія захисту інформації як наука, що знаходиться на стадії розвитку, зіткнулась з колом проблем. Частина з цих проблем вже є розв’язаною, інші очікують розв’язання. Розглянемо декілька базових проблем теорії захисту інформації, які на поточний час розв’язані.

Важливою проблемою теорії захисту інформації є проблема складності задачі вивчення (аналізу) систем захисту інформації. У сучасній теорії захисту інформації цю проблему розв’язують, застосовуючи метод ієрархічної декомпозиції складних систем. З використанням цього методу, загальну складну систему розкладають на низьку рівнів ієрархії. При цьому, верхній рівень ієрархії складає політика безпеки, другий рівень – системи підтримки політики безпеки, третій рівень – механізми захисту, четвертий рівень – реалізація механізмів безпеки. Вивчення цих підсистем проводять із застосуванням специфічних для кожного рівня ієрархії методів аналізу.

Наступною проблемою теорії захисту інформації є проблема побудови (синтезу) “гарантовано захищеної системи”. Проблема полягає у протиріччі між вимогами до гарантованості і принциповою неможливістю побудувати “гарантовано захищену систему” у класі відкритих систем. В теорії відкритих систем проблему гарантованої безпеки відносять до алгоритмічно нерозв’язних проблем.

Алгоритмічно нерозв’язною проблемою є клас задач, для якого не можна запропонувати ніякого єдиного алгоритму, який розв’язував би усі задачі з указаного класу.

Доказове обґрунтування відсутності гарантованої безпеки у відкритих системах надає, наприклад, теорема про неможливість розв’язати задачу забезпечення безпеки довільної системи у загальному випадку за умови загального завдання на доступ, сформульована в роботі М.Харрісона, В.Руззо, Дж.Ульмана. Рішення цієї проблеми проводиться шляхом декомпозиції загальної вихідної проблеми гарантованого захисту інформації у комп’ютерних системах на сукупність двох задач. Перша з цих задач полягає у коректному формулюванні політики безпеки, а друга – у побудові (синтезі) системи захисту інформації, яка гарантовано підтримує політику безпеки.

Наведені вище підходи до розв’язання проблем аналізу і синтезу систем захисту інформації вперше були впроваджені у Критеріях оцінки захищених комп’ютерних систем Міністерства оборони США (англ. – Trusted Computer System Evaluation Criteria, TCSEC), відомих також як “Оранжева книга”, у 80-х роках минулого сторіччя та складають теоретичний базис багатьох сучасних стандартів захисту інформації.

Основні типи політик безпеки

При побудові систем захисту інформації необхідно сформулювати мету, головні умови та ресурси щодо захисту та розподілу інформації. Це завдання визначають як побудову політики безпеки.

У критеріях захищеності комп’ютерних систем TCSEC надано наступне визначення політики безпеки. Політика безпеки – це набір норм, правил і практичних прийомів, які регулюють управління, захист і розподіл цінної інформації.

Наведене визначення політики дозволяє використовувати певний апарат для її реалізації. Наявність політики безпеки та її формального опису у вигляді моделі безпеки за умови дотримання системою визначених правил та обмежень, дозволяє провести формальне доведення відповідності системи визначеному критерію безпеки.

У загальному випадку визначене завдання є багатоальтернативним, не має єдиного розв’язку, часто несе в собі протиріччя. Так, наприклад, між вимогами до ефективності функціонування системи захисту інформації та забезпеченням ефективності функціонування інформаційної системи існує протиріччя.

Поняття політики безпеки, на відміну від поняття несанкціонованого доступу (НСД), є більш широким. Політика безпеки разом з поняттям дозволених доступів, оперує поняттям недозволених доступів. Виконання політики безпеки забезпечує необхідні, а інколи і достатні умови безпеки системи.

Захист комп’ютерних систем від несанкціонованого доступу

Несанкціонований доступ (НСД) до інформації в комп’ютерних системах є найнебезпечнішою загрозою інформації. Як правило НСД до інформації здійснюється з використанням:

● знання комп’ютерної системи і вміння працювати на неї;

● відомостей про систему захисту інформації;

● вад програмних і апаратних засобів;

● помилки та необачливість обслуговуючого персоналу та користувачів та інші.

З метою захисту інформації від НСД створюється система розмежування доступу (СРД) до інформації. СРД є одним з дієвих механізмів комплексних систем захисту інформації.

Одним з механізмів зловмисника для дослідження СРД з метою несанкціонованого доступу до інформації є дослідження і копіювання інформації про систему захисту інформації (СЗІ). Для протидії цієї загрозі інформації використовується комплекс засобів і заходів і створюється система захисту від дослідження і копіювання інформації (СЗДК). Таким чином, СРД та СЗДК є підсистемами системи захисту інформації від НСД.

В основі функціонування СРД знаходиться певна модель політики безпеки. Найбільше розповсюдження мають дискреційна та мандатна політики безпеки, яки були розглянуті у підрозділі 7.1.

Основними елементами, яки складають СРД є блок ідентифікації та автентифікації суб’єктів доступу, диспетчер доступу, блок криптографічного перетворення інформації при її збереженні та передачі, блок очистки пам’яті.

Поняття про методи криптографічного захисту інформації

Криптографія, як наука, має велику історію. Історію криптографії поправу визначають як історію розвитку науки захисту інформації. Тому перед тим, як розглянути основні криптографічні методи захисту інформації, наведемо історичну довідку з розвитку криптографії.

Криптографічні методи захисту інформації з’явились більш ніж п’ять тисяч років тому, практично одночасно з зародженням письменності. Історія криптографії має окремі факти використання шифрованих повідомлень у древніх цивілізаціях Єгипту, Месопотамії та Індії.

В державах давньої Греції у V-VI сторіччях до нашої ери криптографія активно розвивалася та використовувалася. В працях грека Полібія того часу наводиться опис системи шифрування “квадрат Полібія”, в древній Спарті були створені та використовувалися прилади для шифрування – таблиця Енея та низка інших. У Давньому Римі також використовували криптографію – відомою є праця Юлія Цезаря, де є опис шифру. Внесок в розвиток криптографії зробили видатні мислителі того часу – Аристотель, Піфагор, Платон.

Подальший розвиток криптографія набула у VIII-IХ сторіччях нашої ери в країнах арабського світу. Сучасні математика та криптографія зобов’язані арабському світу того часу арабським цифрам та арабським системам шифрів, в тому числі шифрів із застосуванням декількох шифроабеток.

У часи епохи Відродження в ХIV-ХVI сторіччях криптографія продовжувала розвиватися, з’явилися шифри – "Міланський ключ", "Єврейський шифр", код з перешифруванням Л. Альберті, роботи з криптографії Д. Кардано, Б. Виженера. У ті часи були отримані результати з алгебри Л. Фібоначчі, Н. Оремом, Ф. Віетом та іншими, які надали підґрунтя для подальшого розвитку криптографії.

У XVII—XIX сторіччях сформувався та набув подальший розвиток криптоаналіз – наука, яка займається дешифруванням. Розвиток криптоаналізу був стимульований спеціальними службами провідних країн світу того часу, яки створили дешифрувальні служби. Становлення дешифрувальної справи того часу пов’язують з іменами математиків та фахівців Д. Валлисом в Англії, А. Россиньолем та Ч. Беббиджем у Франції, графом Гронсфельдом в Германії, Х. Гольбахом, Ф. Епінусом в Росії та іншими. У ці часи також продовжився розвиток криптографії.

Історія криптографії ХХ сторіччя пов’язана з винаходом та активним використанням під час другої світової війни електромеханічних шифраторів. Лідирували шифратори двох типів: на комутаційних дисках чи роторах та на цевочних дисках. Широковідома німецька шифрувальна машина "Энігма" використовувала перший тип комутаційних дисків, а американська шифрувальна машина М-209 – другий. В ті часи на розвиток криптографії працюють такі всесвітньо відомі математики як К. Шеннон та С. Куллбак в Сполучених Штатах Америки, В. Котельников, А. Марков та А. Гельфонд в Радянському Союзі, та інші.

В наші часи криптографія остаточно оформилась як математична наука, вона орієнтована на сучасні засоби обчислювальної техніки та телекомунікацій.

Основні поняття криптографії

Криптографія (рос. – Криптография, англ. – Сryptography) – це наука, яка займається вивченням та розробкою методів, способів та засобів перетворення інформації у вигляд, який ускладнює чи робить неможливим несанкціоновані дії з нею. Криптографія базується на методах (алгоритмах) шифрування та дешифрування.

Шифрування (рос. – Шифрование, англ. – Encryption) – це процес криптографічного перетворення даних, за допомогою якого відкритий текст перетворюється в шифротекст з метою захисту від несанкціонованого доступу. Дешифрування (рос. – Дешифрование, англ. – Decryption) – це процес, зворотній шифруванню. Алгоритм шифрування, криптографічний алгоритм або криптоалгоритм (рос. – Алгоритм шифрования, англ. – Encryption algorithm) – це алгоритм, згідно якого здійснюється криптографічне перетворення інформації. Криптографія разом з криптоаналізом та, за деякими визначеннями, стеганографією, є складовою науки – криптології.

Криптоаналіз (рос. – Криптоанализ, англ. – Сryptanalysis) – це складова криптології, наука, що займається вивченням та розробкою методів способів та засобів розкриття шифрів. Криптологія (рос. – Криптология, англ. – Сryptology) – це наука, складовими якої є криптографія, криптоаналіз та, за деякими визначеннями, стеганографія. Стеганографія (рос. – Стеганография, англ. – Stegonography) – складова криптології, наука організації передачі інформації таким чином, що приховується сама наявність такої передачі.

Криптографічні методи (криптографічні алгоритми, алгоритми шифрування), тобто методи або алгоритми, згідно яким здійснюється криптографічне перетворення інформації, є найбільш потужним механізмом захисту інформації.

Сучасна криптографія застосовується для шифрування та дешифрування інформації – даних користувача, а також для розв’язання задач пов’язаних із забезпеченням захищеності систем захисту інформації, таких як автентифікація користувачів, контроль цілісності інформації, незаперечність причетності до авторства чи до одержання документа або повідомлення. Визначимо автентифікацію як процедуру перевірки належності учаснику процесу обміну інформацією ідентифікатора, який був їм пред’явлений. Ідентифікатор – це послідовність латинських літер і цифр, яка починається з літери. Цілісність інформації – це властивість інформації, яке полягає в тому, що вона не може бути модифікована неавторизованим користувачем і/чи процесом.

Незаперечність причетності до авторства – це поняття, зворотне поняттю відмови від авторства, тобто заперечення причетності до утворення або передавання якого-небудь документа чи повідомлення. В свою чергу, незаперечність причетності до одержання документа, або повідомлення – поняття, зворотне поняттю відмови від причетності до утворення або передавання якого-небудь документа чи повідомлення.

Важливим поняттям криптографії є криптоаналітична атака (рос. – криптоаналитическая атака, англ. – cryptoanalytic attack) – це загальна назва методу, яким криптоаналітик намагається зламати криптосистему. У залежності від якості та кількості інформації, якою володіє криптоаналітик, криптоаналітичні атаки поділяють на атаки лише із криптотекстом, атака з відомим відкритим текстом, атака з вибраним відкритим текстом, атака з вибраним криптотекстом, атака з вибраним ключем.

У криптографії використовують поняття стійкість криптографічних алгоритмів (рос. – стойкость криптоалгоритмов, англ. – cipher strength). Це поняття характеризує рівень стійкості криптоалгоритму до розшифрування, який визначається часом та обчислювальними ресурсами, необхідними для розшифрування. Розрізняють поняття абсолютної та практичної крипостійкості. Абсолютна стійкість криптоалгоритмів (рос. – абсолютная стойкость криптоалгоритмов, англ. – perfect secrecy) за Шеноном означає статистичну незалежність відкритого та зашифрованого тексту і досягається лише тоді, якщо довжина ключа є не меншою від довжини відкритого тексту та ключ обирається з ключового простору дійсно випадково. Практична стійкість криптоалгоритмів (рос.– практическая стойкость криптоалгоритмов, англ. – computationally secure) – це поняття стійкості алгоритмів, які не є ідеальні, тобто можуть бути дешифрованими за скінчений час.

В сучасній криптографії криптографічні методи не використовуються самостійно. Вони складають основу, базову частину більш загальної криптографічної системи. Криптографічна система, або криптосистема (рос. – криптосистема, англ. – сryptosystem) – це сукупність програмних, апаратних, програмно-апаратних засобів, криптографічних алгоритмів або криптографічних схем, поєднаних в єдиній системі з метою розв’язання конкретної задачі захисту інформації.

Історія криптографії починалась із використання криптоалгоритмів, які користувачі мали тримати в таємниці. Розкриття цих алгоритмів третій стороні автоматично приводило до розкриття шифротексту. Такі криптоалгоритми з часом отримали назву тайнопису. Тайнопис (рос. – тайнопись, англ. – сryptographic writing) – це методи кодування, особливістю яких є обов’язкове збереження в таємниці криптографічного алгоритму від третьої сторони. Вони були обмеженими за функціональними можливостями і в сучасній криптографії не використовуються.

Наприкінці ХІХ сторіччя криптографія починає відмовлятися від тайнопису і переходити до криптоалгоритмів з ключем. Такі зміни пов’язують з ідеями французького математика Огюста Кергоффса, сформульованими в роботі “Військова криптографія”, яка вийшла в світ у 1883 році. В цій роботі О.Кергоффс вперше відокремлює проблеми таємності криптоалгоритму и таємності ключа. Він пропонує використовувати криптоалгоритми, для яких пріоритетним є таємність ключа і не є важливою, власне, таємність криптоалгоритму.

Сучасна криптографія базується на криптоалгоритмах шифрування з ключем. Шифрування з ключем (рос. – шифрование с ключом, англ. – кey coding) – це методи кодування, особливістю яких є обов’язкове збереження ключа в таємниці від третьої сторони, збереження криптографічного алгоритму при цьому не обов’язково.

Криптоалгоритми шифрування з ключем

Серед криптоалгоритмів шифрування з ключем розрізняють дві великі групи таких криптоалгоритмів – симетричні та асиметричні. Симетричне шифрування (рос. – симметричное шифрование, англ. – symmetric coding) – це метод шифрування, у якому ключі зашифровування і розшифровування або однакові, або легко виводяться один з одного, забезпечуючи таким чином спільний ключ. Асиметричне шифрування (рос. – ассиметричное шифрование, англ. – asymmetric coding) – це група методів криптографічного шифрування, у яких використовуються два ключі – секретний (приватний) і відкритий, причому жоден із ключів не може бути обчислений з іншого за певний час. Інша назва методу – шифрування з відкритим ключем (рос. – шифрование с открытым ключом, англ. – public key coding).

Симетричне та асиметричне шифрування є домінуючими криптографічними методами на поточний час. Історія криптографії із симетричними криптоалгоритмами почалась наприкінці ХІХ сторіччя з виходом в світ роботи О. Кергоффса “Військова криптографія”. Криптографія з асиметричними криптоалгоритмами значно молодше. Її початок пов’язують з роботами американських вчених В.Діффі і М.Хеллмана, які вийшли в світ у 70-х роках минулого сторіччя.

Симетричні та асиметричні криптоалгоритми мають переваги та недоліки. Симетричні криптоалгоритми в порівнянні з асиметричними мають більшу швидкодію та меншу довжину ключа. Асиметричні криптоалгоритми, в свою чергу, можуть застосовуватися у таких випадках організації криптосистем, де використання симетричних алгоритмів є неможливим. Порівняння характеристик цих криптоалгоритмів, в цілому, не є коректним, тому що вони створені для розв’язання різних завдань шифрування.

Сфери застосування асиметричних криптоалгоритмів шифрування

Асиметричні криптоалгоритми, як і симетричні, застосовуються для шифрування масивів даних, але їх швидкість значно поступається швидкості останніх. Основне призначення асиметричних криптоалгоритмів – забезпечення ефективного функціонування сучасних криптосистем. Ці криптоалгоритми складають основу задач автентифікації користувачів, контролю цілісності інформації, незаперечності причетності до авторства чи до одержання документа або повідомлення та інших.

Важливе практичне застосування асиметричних криптоалгоритмів – в основі підсистем електронно-цифрового підпису (ЕЦП) криптографічних систем. Електронно-цифровий підпис (рос. – электронно-цифровая подпись, англ. – electronic digital signature) – цифрова послідовність, що додається до повідомлення (даних) для забезпечення цілісності та підтвердження авторства і формується із застосуванням асиметричних криптосистем. У електронно-цифровому підписі для шифрування повідомлень використовується закритий, а для розшифрування – відкритий ключ.

Захист комп’ютерних систем від вірусів та спаму

Класичні комп’ютерні віруси – це програмні засоби, які здатні самостійно відтворюватись, тобто розмножуватись, і які використовують в якості носія інший програмний код, який вони модифікують таким чином, щоби впровадити в нього свою копію. В результаті замість програмного коду, запущеного користувачем на виконання, починає виконуватись код вірусу.

Комп’ютерні віруси розрізняються між собою за такими ознаками:

·       середовище існування – системні області комп’ютера, ОС, прикладні програми, у визначенні компоненти яких впроваджується код вірусу:

·        файлові;

·        завантажувальні (boot);

·        макро;

·        скриптові.

·       спосіб зараження – різні методи впровадження вірусного коду в об’єкти, які він заражає.

В залежності від середовища існування віруси використовують різні способи зараження, тому універсальної класифікації за другою ознакою немає.

Віруси також класифікують (або надають їм додаткові ознаки) за тими технологіями, які віруси використовують для ускладнення їх виявлення і ліквідації. Деякі з них розглянемо в розділі, присвяченому захисту від вірусів.

Файлові віруси

Файлові віруси для свого розповсюдження використовують файлову систему. Найпоширеніший тип файлових вірусів використовує в якості носія виконувані файли. За способом зараження з них виділяють так звані віруси, що перезаписують (overwriting) і паразитичні віруси (parasitic). Перші з них заміняють собою оригінальний файл, знищуючи його, так що в результаті їх діяльності і прикладні програми, і ОС дуже швидко перестають функціонувати. Другі – значно більш витончені, вони модифікують оригінальний файл, зберігаючи його функціональність. Цей тип файлових вірусів є найпоширенішим, і його ми в подальшому розглянемо детальніше. Існують також так звані компаньйон-віруси, які створюють файли-двійники, так звані link-віруси, які використовують особливості організації файлової системи.

Завантажувальні віруси

Завантажувальні, або бутові (англ. boot – початкове завантаження, специфічний комп’ютерний термін, скорочення від bootstrap), віруси активуються в момент завантаження системи. Для цього вони повинні розташувати частину свого коду в службових структурах носія, з якого відбувається завантаження – жорсткого диску або дискети. Зараження дискети здійснюється шляхом записування свого коду замість оригінального коду boot-сектора дискети. Зараження жорсткого диска – одним з трьох способів: вірус записує себе або замість коду MBR (Master Boot Record – системного завантажувача жорсткого диску), або замість коду boot-сектора завантажувального диска (у Windows – зазвичай диска C:), або модифікує адресу активного boot-сектора в таблиці розділів диска (Disk Partition Table), що знаходиться в MBR.

Завантаження з дискети вже давно стало великою екзотикою, тому що сучасні операційні системи вимагають більші об’єми носіїв для розміщення свого коду. Саме втрата актуальності дискети як носія для завантаження ОС стала причиною того, що бутові віруси в наш час втратили поширення.

На жорсткому диску бутові віруси можуть вельми спокійно існувати і завдавати величезної шкоди інформаційним ресурсам. Також вони можуть дуже ефективно протидіяти антивірусним засобам, оскільки фактично саме віруси стартують першими, ще до запуску операційної системи, і тому вони здатні залишити за собою керування критичними для їх існування ресурсами комп’ютера, зокрема, файловою системою. З іншого боку, для цього потрібно фактично утворити для ОС віртуальну машину, що для сучасних систем хоча й є цілком можливим (адже для цього існують спеціальні програмні засоби, наприклад, vmware), але потребує великого обсягу програмного коду, що не дуже прийнятно для вірусу.

Макро-віруси

Макро-віруси – це віруси, які використовують програмний код, прихований в файлах документів – так звані макроси. Ідея макросів полягає в тому, що під час роботи з документами досить часто виникає необхідність багаторазово повторювати рутинні операції редагування, або виконання деяких процедур вимагає виконання певної, завжди однакової, послідовності дій. Цілком природно для виконання таких дій визначити процедуру, яка буде виконувати визначену послідовність операцій автоматично. В якості елементарних операцій в макросі мають бути припустимими окремі команди з множини тих команд, що передбачені в програмі обробки документа, або спеціально розроблені макро-команди. Свої макро-мови для автоматизації мають різні табличні і графічні редактори, системи проектування, текстові процесори.

Макро-віруси – це програми на макро-мовах. Передумовою появи макро-вірусів стали можливості, які з’явились в удосконалених системах, що використовують макроси: по-перше, можливість зберігання макросів в файлі документа, а по-друге – суттєве розширення функцій, доступних для макрокоманд.

Скриптові віруси

Програмний код може впроваджуватись і в інші види документів, наприклад, в HTML-сторінки, що завантажуються з мережі або локально і подаються на екрані програмою-браузером. При цьому також автоматично виконується програмний код сценаріїв (“скриптів” від англ. script – сценарій) або інших елементів (ActiveX, Java). Програмний код сценаріїв може існувати і окремо, в спеціальних файлах. Деякі мови сценаріїв дуже розвинені, їх можна вважати повноцінними мовами програмування. Наприклад, в операційній системі UNIX/Linux сценарії в якості системних команд використовуються на рівних правах з бінарними виконуваними файлами, далеко не всі користувачі знають, що саме вони запускають – скомпільовану програму чи сценарій. Сценарії можуть мати встановлений атрибут SUID. Не дивно, що в їх середовищі також можуть існувати віруси.

Скриптові віруси розглядають як підгрупу файлових вірусів. Такі віруси можуть бути написаними на різних мовах сценаріїв (VBS, JS, BAT, PHP і т.д.). Вони можуть заражати інші програми-сценарії (командні і службові файли Windows або UNIX), можуть бути компонентами багатокомпонентних вірусів, можуть заражати файли інших форматів (як, наприклад, згаданий вище HTML), якщо в них можливе виконання сценаріїв.

Крім розглянутих нами, іноді в класифікаціях згадують “поштові віруси”, які поширюються електронною поштою. В наш час переважна більшість небезпечних руйнівних програмних засобів дійсно надходить з мережі, в тому числі й електронною поштою. Однак практично всі такі засоби не є специфічними “поштовими вірусами”. Як правило, це звичайні файлові віруси, якими заражені файли, що пересилаються поштою у вигляді вкладень. Ще частіше, такі руйнівні засоби – це типові “троянські коні”. А в окремих випадках (такі випадки є найнебезпечнішими) – це мережеві хробаки.

Технології виявлення комп’ютерних вірусів

Основними технологіями виявлення вірусів (і інших шкідливих програмних засобів) є:

·       пошук сигнатур;

·       евристичний аналіз;

·       контроль незмінності об’єктів.

Однією з основних технологій виявлення вірусів був і залишається пошук характерних ознак відомих вірусів (так званих сигнатур) у файлах і оперативній пам’яті комп’ютера. Деякий час великі надії покладали на так званий “евристичний аналіз”, коли впровадження шкідливого коду визначалось (точніше, “підозрювалось”) за наявністю “підозрілих операцій” (як, наприклад, відкриття для модифікації виконуваних файлів, перехоплення переривань, тощо). Також деякі засоби контролювали незмінність файлів, здебільшого виконуваних, що гарантувало неможливість впровадження в них коду вірусу. Сучасні антивірусні засоби поєднують в собі всі ці можливості, причому для виявлення відомих вірусів (а також хробаків, “троянських коней” і інших небезпечних програмних засобів) найефективнішим залишається саме пошук їхніх сигнатур.

За режимом дії з-проміж антивірусних засобів виділяють:

·       антивірусні сканери (АВС);

·       антивірусні монітори (АВМ);

·       антивірусні фільтри (АВФ).

Антивірусні сканери періодично або за запитом здійснюють повне сканування файлової системи комп’ютера або вибіркове сканування заданих файлів або каталогів. Обсяг файлової системи сучасних комп’ютерів і кількість сигнатур в базі сучасних антивірусних засобів такий, що повне сканування комп’ютера з рутинної операції перетворилось на авральну процедуру, яка на кілька годин паралізує будь-яку діяльність на комп’ютері. Тому, незважаючи на переконливі вимоги антивірусних засобів провести повне сканування файлової системи, на практиці таке сканування проводять дуже нечасто (є можливість проводити такі сканування вночі, але реально так роблять здебільшого в корпоративних мережах).

Антивірусні монітори працюють неперервно, але вони здійснюють лише вибіркову перевірку, і тому, як правило, не дуже сильно уповільнюють роботу комп’ютера. Обов’язково перевіряються всі файли, з якими проводяться будь-які операції (відкривання, зчитування, записування, переміщення файлу, запуск на виконання), а якщо таких операцій відбувається мало, іде повільне вибіркове сканування файлової системи. Слід зазначити, що в момент відкривання файлу, особливо великих файлів і архівів, перевірка займає помітний проміжок часу, так що антивірусний монітор дійсно помітно уповільнює деякі види операцій, а саме: запуск великих програм, відкриття великих документів і, особливо, архівів, що містять документи, а також пакетні операції оброблення великої кількості файлів (наприклад, переміщення великого каталогу з документами WinWord).

Антивірусні фільтри призначені для роботи з потоками даних, головним чином – тими, що надходять з мережі. Вони ефективні для перевірки електронної пошти, повідомлень з каналів IRC, P2P-мереж і інших. Також вони ефективні проти так званих безтілесних хробаків, які не пов’язані з жодними файлами.

Віруси (а також хробаки і “троянські коні”) із свого боку протидіють антивірусним засобам різними, часто досить вибагливими способами.

Головним засобом проти пошуку сигнатур став так званий поліморфізм – модифікація коду вірусу від одного екземпляру до іншого. Для реалізації поліморфізму, як правило, здійснюється зашифровування коду з використанням різних ключів, а першим компонентом вірусу, який отримує керування, є розшифрувальник.

Деякі віруси досить ефективно приховують себе від програм, які контролюють розмір файлів (наприклад, на системний запит видають невірну інформацію про довжину файла, дату його модифікації, тощо). Подібні технології отримали назву “стелс” (англ. – stealth).

Досить неприємною для антивірусних засобів є тенденція розсилати код вірусу упакованим в архів (антивірусні засоби для виявлення сигнатури повинні вміти розпаковувати всі необхідні формати архівів). Ще більшим утрудненням стало пакування вірусів у архіви, що захищені паролем (пароль надсилається окремо, наприклад, вірус – у приєднаному до електронного листа файлі, а пароль – в самому листі).

Також віруси можуть включати в себе механізми захисту від дослідження, протидії запуску в режимі налагодження, а також “логічні бомби”, які спрацьовують при спробі видалення компонентів вірусу.

Запитання для самоконтролю

1. Які різниця між аутентифікацією та авторизацією в контексті захисту інформації?
2. Які методи аутентифікації широко використовуються в сучасних комп'ютерних системах?
3. Як шифрування використовується для захисту інформації під час передачі по мережі?
4. Які види шифрування ви знаєте і як вони відрізняються?
5. Які стратегії можна використовувати для захисту від вірусів та інших зловмисних програм?
6. Як важливо оновлювати антивірусне програмне забезпечення?
7. Які заходи безпеки можна приймати для захисту мережевої інфраструктури?
8. Як використовуються брандмауери та інші мережеві пристрої для забезпечення безпеки?
9. Як важливо регулярно створювати резервні копії даних?
10. Які методи відновлення можна використовувати в разі втрати або пошкодження інформації?
11. Чому важливо своєчасно встановлювати оновлення та патчі для операційних систем і програмного забезпечення?Як ви перевіряєте та оновлюєте систему безпеки вашої комп'ютерної системи?
12. Які заходи можна приймати для фізичного захисту комп'ютерних систем?
    Чому важливо обмежувати доступ до фізичних пристроїв, таких як сервери і комп'ютери? 

Література

Література:

1.  Антоненко В. М., Мамченко С. Д., Рогушина Ю. В. Сучасні інформаційні системи і технології: управління знаннями: навч. посібник. Ірпінь: Нац. університет ДПС України, 2016. 212 с.

2.      Гомонай-Стрижко М. В., Якімцов В. В. Інформаційні системи та технології на підприємстві: конспект лекцій. Львів: НЛТУ, 2014. 200 с. URL: http://ep.nltu.edu.ua/images/Kafedra_EP/Kafedra_EP_PDFs/kl_isitp.pdf

3.  Федорова М. С. Конспект лекцій з дисципліни “Інформаційні системи та технології на підприємстві”. Херсон, 2015. 158 с.

4.    Інформаційні системи: навч. посібник / за наук. ред. Н. В. Морзе. Івано-Франківськ: “Лілея НВ”, 2015. 384 с.

5.  Павлиш В. А., Гліненко Л. К. Основи інформаційних технологій і систем: навч. посібник. Київ–Львів: Вид-во Львівської політехніки, 2013. 500 с.

6.  Закон України “Про інформацію”. Документ 2657–XII, чинний, поточна редакція від 16.07.2020, підстава – 692-IX. URL: https://zakon.rada.gov.ua/laws/show/2657–12#Text