I prevencija - sprečavanje infekcije (modifikacije) datoteka ili operativnog sistema zlonamernim softverom.

Metode zaštite od virusa[ | ]

Za zaštitu od virusa koriste se tri grupe metoda:

1. Metode zasnovane na analiza sadržaja fajla(i datoteke sa podacima i datoteke sa komandama). Ova grupa uključuje skeniranje za virusne potpise, kao i provjeru integriteta i skeniranje sumnjivih naredbi.
2. Metode zasnovane na praćenje ponašanja programa prilikom njihovog izvođenja. Ove metode se sastoje od evidentiranja svih događaja koji ugrožavaju sigurnost sistema i dešavaju se ili tokom stvarnog izvršavanja testnog objekta ili tokom njegove softverske emulacije.
3. Metode regulisanje radnih procedura sa fajlovima i programima. Ove metode su administrativne sigurnosne mjere.

Metoda skeniranja potpisa(analiza potpisa, metoda potpisa) zasniva se na traženju datoteka za jedinstveni niz bajtova - potpisi, karakterističan za određeni virus. Za svaki novootkriveni virus stručnjaci antivirusne laboratorije vrše analizu na osnovu koje se utvrđuje njegov potpis. Rezultirajući virusni fragment stavlja se u posebnu bazu podataka virusnih potpisa, s kojom antivirusni program radi. Prednost ove metode je relativno nizak udio lažnih pozitivnih rezultata, a glavni nedostatak je suštinska nemogućnost otkrivanja novog virusa u sistemu za koji u bazi antivirusnog programa nema potpisa, pa je pravovremeno ažuriranje baze potpisa potrebno. potrebno.

Metoda kontrole integriteta zasniva se na činjenici da je svaka neočekivana i bezuzročna promjena podataka na disku sumnjiv događaj koji zahtijeva posebnu pažnju antivirusnog sistema. Virus nužno ostavlja dokaze o svom prisustvu (promjene u podacima postojećih (posebno sistemskih ili izvršnih) datoteka, pojava novih izvršnih datoteka itd.). Činjenica promjene podataka - kršenje integriteta- lako se utvrđuje poređenjem kontrolne sume (dažeta), izračunate unapred za početno stanje test objekta, i kontrolne sume (dažeta) trenutnog stanja test slučaja. Ako se ne podudaraju, to znači da je integritet narušen i postoji svaki razlog da se izvrši dodatna provjera za to, na primjer, skeniranjem virusnih potpisa. Ova metoda radi brže od metode skeniranja potpisa, budući da izračunavanje kontrolnih suma zahtijeva manje proračuna od operacije bajt po bajt poređenja fragmenata virusa, osim toga, omogućava vam da otkrijete tragove aktivnosti bilo kojeg, uključujući nepoznate, virusa za za koje još nema potpisa u bazi podataka.

Metoda za skeniranje sumnjivih naredbi(heurističko skeniranje, heuristička metoda) zasniva se na identifikaciji određenog broja sumnjivih naredbi i (ili) znakova sumnjivih sekvenci u skeniranoj datoteci (na primjer, naredba za formatiranje tvrdog diska ili funkcije ubrizgavanja u pokrenuti ili izvršni proces ). Nakon toga se postavlja pretpostavka o zlonamjernoj prirodi datoteke i poduzimaju se dodatni koraci za provjeru. Ova metoda je brza, ali vrlo često nije u stanju otkriti nove viruse.

Metoda za praćenje ponašanja programa se fundamentalno razlikuje od metoda skeniranja sadržaja datoteka koje smo ranije spomenuli. Ova metoda se zasniva na analizi ponašanja pokrenutih programa, uporedivih sa hvatanjem kriminalca „za ruke“ na mestu zločina. Antivirusni alati ovog tipa često zahtijevaju aktivno učešće korisnika, pozvanih da donose odluke kao odgovor na brojna sistemska upozorenja, od kojih se mnoga kasnije mogu pokazati kao lažni alarmi. Učestalost lažnih pozitivnih rezultata (sumnja na virus za bezopasnu datoteku ili propuštanje zlonamjerne datoteke) iznad određenog praga čini ovu metodu neučinkovitom, a korisnik može prestati odgovarati na upozorenja ili odabrati optimističnu strategiju (dopustiti sve radnje svim pokrenutim programima ili onemogućite ovu antivirusnu funkciju). Kada koristite antivirusne sisteme koji analiziraju ponašanje programa, uvijek postoji rizik od izvršavanja virusnih komandi koje mogu uzrokovati štetu na zaštićenom računalu ili mreži. Da bi se otklonio ovaj nedostatak, kasnije je razvijena metoda emulacije (simulacije), koja vam omogućava da pokrenete program koji se testira u umjetno stvorenom (virtuelnom) okruženju, koje se često naziva sandbox, bez rizika od oštećenja informacionog okruženja. Upotreba metoda za analizu ponašanja programa pokazala je njihovu visoku efikasnost u otkrivanju poznatih i nepoznatih malvera.

Lažni antivirusi [ | ]

2009. godine počelo je aktivno širenje lažnih antivirusa [ ] - softver koji nije antivirusni (odnosno, nema stvarnu funkcionalnost za suzbijanje zlonamjernog softvera), ali se pretvara da jeste. U stvari, lažni antivirusi mogu biti ili programi koji obmanjuju korisnike i ostvaruju profit u obliku plaćanja za „liječenje sistema od virusa“ ili obični zlonamjerni softver.

Specijalni antivirusi[ | ]

U novembru 2014. međunarodna organizacija za ljudska prava Amnesty International objavila je Detect, antivirusni program dizajniran za otkrivanje zlonamjernog softvera koji distribuiraju vladine agencije radi špijuniranja građanskih aktivista i političkih protivnika. Antivirus, prema kreatorima, obavlja dublje skeniranje hard diska od konvencionalnih antivirusa.

Antivirusna efikasnost[ | ]

Analitička kompanija Imperva, u sklopu Hacker Intelligence Initiative, objavila je zanimljivu studiju koja pokazuje nisku efikasnost većine antivirusa u realnim uslovima.

Prema rezultatima različitih sintetičkih testova, antivirusi pokazuju prosječnu efikasnost od oko 97%, ali se ti testovi provode na bazama podataka od stotina hiljada uzoraka, od kojih se velika većina (možda oko 97%) više ne koristi za izvode napade.

Pitanje je koliko su antivirusi efikasni protiv najnovijih prijetnji. Da bi odgovorili na ovo pitanje, Imperva i studenti sa Univerziteta u Tel Avivu dobili su 82 uzorka najnovijeg malvera sa ruskih podzemnih foruma i testirali ih protiv VirusTotal-a, odnosno protiv 42 antivirusna mehanizma. Rezultat je bio katastrofalan.

1. Efikasnost antivirusa protiv novokompiliranog zlonamjernog softvera bila je manja od 5%. Ovo je sasvim logičan rezultat, budući da ih kreatori virusa uvijek testiraju na bazi podataka VirusTotal.
2. Od pojave virusa, dok ga antivirusi ne počnu prepoznati, prođe do četiri sedmice. Ovu cifru postižu “elitni” antivirusi, dok za ostale antiviruse taj period može doseći i do 9-12 mjeseci. Na primjer, na početku studije 9. februara 2012. testiran je svježi uzorak lažnog instalatora Google Chromea. Nakon završetka studije 17. novembra 2012. godine, samo 23 od 42 antivirusa su ga otkrila.
3. Antivirusi s najvećim postotkom otkrivanja zlonamjernog softvera također imaju visok postotak lažnih pozitivnih rezultata.
4. Iako se studija teško može nazvati objektivnom, jer je uzorak zlonamjernog softvera premali, može se pretpostaviti da su antivirusi potpuno neprikladni za nove cyber prijetnje.

Klasifikacije antivirusnih programa[ | ]

Antivirusni programi se dijele po izvršenju (sredstvu za blokiranje) na:

• softver;
• softver i hardver.

Na osnovu smještaja u RAM-u razlikuju se sljedeće:

• rezidentne (počinju sa radom kada se operativni sistem pokrene, stalno su u memoriji računara i automatski skeniraju datoteke);
• nerezidentni (pokreću se na zahtjev korisnika ili prema rasporedu koji je za njih naveden).

Prema vrsti (načinu) zaštite od virusa razlikuju se:

U skladu sa regulatornim pravnim aktom FSTEC Rusije „Zahtjevi u oblasti tehničke regulative za proizvode koji se koriste za zaštitu informacija koje predstavljaju državnu tajnu ili klasifikovane kao druge informacije s ograničenim pristupom zaštićene u skladu sa zakonodavstvom Ruske Federacije (zahtjevi za sredstva za zaštitu od virusa)” (odobrena . naredbom FSTEC Rusije od 20. marta 2012. br. 28) razlikuju se sljedeće vrste antivirusne zaštite:

• tip “A” - alati za antivirusnu zaštitu (komponente alata za antivirusnu zaštitu), namijenjeni za centraliziranu administraciju alata za antivirusnu zaštitu instaliranih na komponentama informacionog sistema (serveri, automatizovane radne stanice);
• tip “B” - alati za antivirusnu zaštitu (komponente alata za antivirusnu zaštitu) namijenjeni za korištenje na serverima informacionog sistema;
• tip “B” - alati za antivirusnu zaštitu (komponente alata za antivirusnu zaštitu) namijenjeni za korištenje na automatiziranim radnim stanicama informacionih sistema;
• tip “G” - alati za antivirusnu zaštitu (komponente alata za antivirusnu zaštitu) namijenjeni za korištenje u autonomnim automatiziranim radnim stanicama.

Alati za zaštitu od virusa tipa “A” se ne koriste u informacionim sistemima samostalno i namenjeni su za upotrebu samo u kombinaciji sa alatima za antivirusnu zaštitu tipa “B” i (ili) “C”.

Riječ "bot" je skraćenica za riječ "robot". Bot je dio koda koji obavlja neku funkcionalnost za svog vlasnika, koji je autor ovog koda. Botovi (bot) su vrsta zlonamjernog softvera koji je instaliran na hiljadama računara. Poziva se računar na kojem je instaliran bot zombi(zombi). Bot prima komande od svog vlasnika i prisiljava zaraženi računar da ih izvrši. Takve komande mogu biti slanje neželjene pošte, virusa ili izvođenje napada. Napadač radije izvodi takve radnje koristeći botove, a ne vlastiti kompjuter, jer mu to omogućava da izbjegne otkrivanje i identifikaciju.

Zove se skup zombi računara kompromitovanih od strane napadača na kojima su instalirani botovi botnet (botnet). Da bi stvorili botnet, hakeri provaljuju u hiljade sistema, šaljući zlonamjerni kod na različite načine: kao priloge porukama e-pošte, preko kompromitovanih web lokacija, slanjem linkova ka zlonamjernim stranicama kao priloga e-mail porukama, itd. Ako se uspješno instalira na računar korisnika, zlonamjerni kod šalje poruku napadaču da je sistem hakovan i da je sada dostupan napadaču, koji ga može koristiti po želji. Na primjer, može koristiti kreirani botnet za izvođenje snažnih napada ili ga iznajmiti pošiljateljima neželjene pošte. Štaviše, većina računara uključenih u botnet su kućni računari nesuđenih korisnika.

Vlasnik ovog botneta daljinski kontroliše sisteme koji su u njemu uključeni, obično preko IRC (Internet Relay Chat) protokola.

Osnovni koraci za kreiranje i korištenje botneta su dati u nastavku:

1. Haker koristi različite metode da potencijalnim žrtvama pošalje zlonamjerni kod koji sadrži bot softver.
2. Nakon uspješne instalacije na sistem žrtve, bot uspostavlja kontakt sa kontrolnim serverom botneta, komunicirajući s njim putem IRC-a ili posebnog web servera, u skladu sa onim što je navedeno u njegovom kodu. Nakon toga, kontrolni server preuzima kontrolu nad novim botom.
3. Spamer plaća hakeru za korišćenje sistema njegovog botneta, haker šalje odgovarajuće komande kontrolnom serveru, a kontrolni server, zauzvrat, upućuje sve zaražene sisteme uključene u botnet da šalju neželjenu poštu.

Spameri koriste ovu metodu jer značajno povećava vjerovatnoću da njihove poruke stignu do primaoca, zaobilazeći njihove instalirane filtere za neželjenu poštu, jer. takve poruke neće se slati sa jedne adrese, koja će brzo biti blokirana ili dodata na sve "crne liste", već sa mnogih stvarnih adresa vlasnika hakovanih računara.

Da bi napravio botnet, njegov budući vlasnik ili sve radi sam ili plaća hakerima da razviju i distribuiraju zlonamjerni softver kako bi zarazili sisteme koji će postati dio njegovog botneta. I tada će vlasnika botneta kontaktirati i platiti oni koji žele da vam pričaju o svojim novim proizvodima, kao i oni koji treba da napadnu konkurente, ukradu lične podatke ili korisničke lozinke i mnogi drugi.

Tradicionalni antivirusni softver koristi potpise za otkrivanje zlonamjernog koda. Potpisi su otisci prstiju zlonamjernog koda koje je kreirao proizvođač antivirusnog softvera. Potpis su fragmenti koda izvučeni iz samog virusa. Antivirusni program skenira datoteke, e-poštu i druge podatke koji prolaze kroz određene sisteme i uspoređuje ih sa svojom bazom podataka virusnih potpisa. Kada se otkrije podudaranje, antivirusni program izvodi unaprijed konfiguriranu radnju, a to može biti slanje zaražene datoteke u karantenu, pokušaj "izliječenja" datoteke (uklanjanje virusa), prikazivanje prozora upozorenja za korisnika i/ili snimanje događaja u .

Otkrivanje zlonamjernog koda na osnovu potpisa je efikasan način za otkrivanje zlonamjernog softvera, ali postoje određena kašnjenja u odgovoru na nove prijetnje. Nakon što se virus prvi put otkrije, proizvođač antivirusnog programa mora proučiti virus, razviti i testirati nove potpise, objaviti ažuriranje baze podataka potpisa, a svi korisnici moraju preuzeti ažuriranje. Ako zlonamjerni kod jednostavno šalje vaše fotografije svim vašim prijateljima, ovo kašnjenje nije toliko kritično. Međutim, ako je zlonamjerni softver sličan Slammer crvu, šteta od takvog kašnjenja mogla bi biti katastrofalna.

BILJEŠKA. Slammer crv se pojavio 2003. godine. Iskoristio je ranjivost u Microsoft SQL Server 2000 DBMS koja mu je omogućila da izazove uskraćivanje usluge. Prema nekim procjenama, Slammer je prouzročio više od milijardu dolara štete.

Budući da se novi zlonamjerni softver svakodnevno stvara, proizvođačima antivirusnog softvera je teško pratiti korak. Tehnologija virusnog potpisa omogućava vam da otkrijete viruse koji su već identificirani i za koje je kreiran potpis. Ali pošto su pisci virusa toliko plodni i mnogi virusi mogu promijeniti svoj kod, važno je da antivirusni softver ima druge mehanizme za otkrivanje zlonamjernog koda.

Još jedna metoda koju koriste gotovo svi antivirusni softverski proizvodi je otkrivanje zlonamjernog koda na osnovu kojeg heuristička analiza (heuristička detekcija). Ova metoda analizira cjelokupnu strukturu zlonamjernog koda, procjenjuje upute i algoritme koje izvršava kod i proučava tipove podataka koje zlonamjerni program koristi. Stoga prikuplja veliku količinu informacija o dijelu koda i procjenjuje vjerovatnoću da je po svojoj prirodi zlonamjeran. Koristi neku vrstu „brojča sumnjivosti“, koji se povećava kako antivirusni program pronalazi nova potencijalno opasna (sumnjiva) svojstva u njemu. Kada se dostigne unaprijed određeni prag, kod se smatra opasnim i antivirusni program pokreće odgovarajuće odbrambene mehanizme. Ovo omogućava antivirusnom softveru da prepozna nepoznati zlonamjerni softver umjesto da se oslanja samo na potpise.

Razmotrite sljedeću analogiju. Ivan je policajac, radi na tome da uhvati zločeste i zatvori ih. Ako će Ivan koristiti metodu potpisa, on upoređuje hrpe fotografija svake osobe koju vidi na ulici. Kada vidi šibicu, brzo hvata lošeg momka i stavlja ga u svoj patrolni auto. Ako će koristiti heurističku metodu, pazi na sumnjive aktivnosti. Na primjer, ako vidi čovjeka u skijaškoj maski kako stoji ispred banke, procjenjuje vjerovatnoću da je on pljačkaš, a ne samo hladan tip koji traži kusur od klijenata banke.

BILJEŠKA. Radne stanice bez diska su također osjetljive na viruse, uprkos nedostatku čvrstog diska i punopravnog operativnog sistema. Mogu biti zaraženi virusima koji se preuzimaju i žive u memoriji. Takvi sistemi se mogu ponovo pokrenuti na daljinu (remote reboot) kako bi se memorija očistila i vratila u prvobitno stanje, tj. virus kratko živi u takvom sistemu.

Neki antivirusni proizvodi stvaraju vještačko okruženje zvano virtuelna mašina ili sandbox i dozvoljavaju da se dio sumnjivog koda pokrene u zaštićenom okruženju. Ovo antivirusnom programu daje mogućnost da vidi kod u akciji, što daje mnogo više informacija da odluči da li je zlonamjeran ili ne.

BILJEŠKA. Ponekad se naziva virtuelna mašina ili sandbox bafer za emulaciju(emulacijski bafer). Ovo je isto kao i zaštićeni memorijski segment, pa čak i ako se pokaže da je kod zlonamjeran, sistem će i dalje ostati bezbjedan.

Analiza informacija o dijelu koda se zove statička analiza , ako pokrenete dio koda na virtuelnoj mašini, ovo se zove dinamička analiza . Obje ove metode se smatraju heurističkim metodama detekcije.

Vakcinacija. Drugi pristup koji su koristili neki antivirusni programi je tzv vakcinacija(imunizacija). Proizvodi sa ovom funkcijom uveli su promjene u datoteke i područja diska kako bi izgledali kao da su već zaraženi. U tom slučaju, virus može odlučiti da je datoteka (disk) već zaražena i neće vršiti nikakve dodatne promjene, prelazeći na sljedeću datoteku.

Program vakcinacije je u pravilu usmjeren na određeni virus, jer svaki od njih različito provjerava činjenicu zaraze i traži različite podatke (potpise) u datoteci (na disku). Međutim, broj virusa i drugog zlonamjernog softvera u stalnom je porastu, a samim tim i broj datoteka koje je potrebno zaštititi, pa ovaj pristup trenutno u većini slučajeva nije praktičan, a proizvođači antivirusa ga više ne koriste.

Trenutno, čak i sa svim ovim sofisticiranim i efikasnim pristupima, ne postoji apsolutna garancija efikasnosti antivirusnih alata, jer su pisci virusa veoma lukavi. To je stalna igra mačke i miša koja se odvija svaki dan. Antivirusna industrija pronalazi novi način za otkrivanje zlonamjernog softvera, a sljedeće sedmice pisci virusa pronalaze način da zaobiđu ovu novu metodu. To prisiljava proizvođače antivirusnih programa da stalno povećavaju inteligenciju svojih proizvoda, a korisnici moraju svake godine kupovati nove verzije istih.

Sljedeća faza u evoluciji antivirusnog softvera se zove blokatori ponašanja (blokator ponašanja). Antivirusni softver koji vrši bihevioralno blokiranje u suštini omogućava pokretanje sumnjivog koda na nezaštićenom operativnom sistemu i prati njegovu interakciju sa operativnim sistemom, obraćajući pažnju na sumnjive aktivnosti. Konkretno, antivirusni softver prati sljedeće vrste aktivnosti:

• Pisanje u datoteke koje se automatski učitavaju pri pokretanju sistema ili u odjeljke za pokretanje u sistemskom registru
• Otvaranje, brisanje ili mijenjanje datoteka
• Uključujući skripte u e-poštu za slanje izvršnog koda
• Povezivanje na mrežne resurse ili dijeljene foldere
• Promjena logike izvršnog koda
• Kreiranje ili izmjena makronaredbi i skripti
• Formatiranje tvrdog diska ili pisanje u sektor za pokretanje

Ako antivirusni program otkrije neke od ovih potencijalno opasnih aktivnosti, može natjerati program da se ukine i obavijestiti korisnika. Nova generacija bihevioralnih blokatora zapravo analizira redoslijed takvih radnji prije nego što odluči da je sistem zaražen (prva generacija blokatora ponašanja je jednostavno pokrenula pojedinačne radnje, što je dovelo do velikog broja lažnih pozitivnih rezultata). Moderni antivirusni softver može presresti izvršavanje opasnih dijelova koda i spriječiti njihovu interakciju s drugim pokrenutim procesima. Takođe mogu otkriti. Neki od ovih antivirusnih programa vam omogućavaju da "vratite" sistem u stanje u kojem je bio prije infekcije, "brišući" sve promjene koje je napravio zlonamjerni kod.

Čini se da bihevioralni blokeri mogu u potpunosti riješiti sve probleme povezane sa zlonamjernim kodom, ali imaju jedan nedostatak, koji zahtijeva takvo praćenje zlonamjernog koda u realnom vremenu, inače bi sistem i dalje mogao biti zaražen. Osim toga, stalno praćenje zahtijeva veliku količinu sistemskih resursa...

BILJEŠKA. Heuristička analiza i blokiranje zasnovano na ponašanju smatraju se proaktivnim tehnikama i mogu otkriti novi zlonamjerni softver, koji se ponekad naziva napadima nultog dana. Otkrivanje zlonamjernog softvera na temelju potpisa ne može identificirati novi zlonamjerni softver.

Većina antivirusnih programa koristi kombinaciju svih ovih tehnologija kako bi pružila najbolju moguću zaštitu. Odabrana rješenja protiv zlonamjernog softvera prikazana su na slici 9-20.

Slika 9-20. Proizvođači antivirusnog softvera koriste različite metode za otkrivanje zlonamjernog koda

Svi smo jako umorni od mejlova u kojima se traži da kupimo nešto što nam nije potrebno. Takva slova se zovu neželjena pošta (spam) su neželjene poruke e-pošte. Spam ne samo da odvraća svoje primaoce od njihovog poslovanja, već troši značajnu propusnost mreže i može biti izvor zlonamjernog softvera. Mnoge kompanije koriste filtere za neželjenu poštu na svojim serverima e-pošte, a korisnici mogu konfigurisati pravila filtriranja neželjene pošte u svojim klijentima e-pošte. Ali spameri, kao i pisci virusa, stalno smišljaju nove i genijalne načine da zaobiđu filtere neželjene pošte.

Efikasno otkrivanje neželjene pošte je postala prava nauka. Jedna od korištenih metoda je tzv Bayesovo filtriranje (Bayesovo filtriranje). Prije mnogo godina, gospodin po imenu Thomas Bayes (matematičar) razvio je efikasan način da predvidi vjerovatnoću pojave bilo kojeg događaja koristeći matematiku. Bayesova teorema nam omogućava da odredimo vjerovatnoću da se događaj dogodio uz prisustvo samo indirektnih dokaza (podataka), koji mogu biti netačni. Konceptualno, ovo nije tako teško razumjeti. Ako tri puta udarite glavom o zid od cigle i svaki put padnete, možete zaključiti da će daljnji pokušaji dovesti do istih bolnih rezultata. Zanimljivije je kada se ova logika primjenjuje na akcije koje sadrže mnogo više varijabli. Na primjer, kako funkcionira filter za neželjenu poštu koji ne dozvoljava vaša pisma s ponudom za kupovinu Viagre, ali ne sprječava isporuku pošte od vašeg prijatelja koji je jako zainteresiran za ovaj lijek i piše vam poruke o njegovim svojstvima i efektima na tijelu? Bayesov filter primjenjuje statističko modeliranje na riječi koje čine poruke e-pošte. Matematičke formule se izvode na ovim riječima kako bi se u potpunosti razumjelo njihov međusobni odnos. Bayesov filter vrši analizu frekvencije za svaku riječ, a zatim procjenjuje poruku u cjelini kako bi utvrdio da li je neželjena pošta ili ne.

Ovaj filter ne traži samo riječi "vijagra", "seks" itd., već gleda koliko se često te riječi koriste i kojim redoslijedom da bi se utvrdilo da li je poruka neželjena pošta. Nažalost, pošiljaoci neželjene pošte znaju kako ovi filteri rade i manipulišu riječima u naslovu i tijelu poruke kako bi pokušali prevariti filter neželjene pošte. Zbog toga možete primati neželjene poruke s pogrešno napisanim riječima ili riječima koje koriste simbole umjesto slova. Spameri su veoma zainteresovani da primate njihove poruke jer na tome zarađuju mnogo novca.

Zaštita kompanija od širokog spektra zlonamjernog softvera zahtijeva više od samog antivirusnog softvera. Kao i kod drugih komponenti, potrebno je implementirati i održavati određene dodatne administrativne, fizičke i tehničke mjere zaštite.

Kompanija mora imati posebnu antivirusnu politiku, ili se pitanja antivirusne zaštite moraju uzeti u obzir u opštoj. Mora biti razvijen koji definiše tipove antivirusnog i anti-špijunskog softvera koji su potrebni za upotrebu u kompaniji, kao i glavne parametre njihove konfiguracije.

Informacije o napadima virusa, korišćenim alatima za antivirusnu zaštitu, kao io ponašanju koje se očekuje od korisnika, treba da budu navedene u programu. Svaki korisnik treba da zna šta treba da uradi i gde da se obrati ako se na njegovom računaru otkrije virus. Standard se mora baviti svim pitanjima vezanim za radnje korisnika u vezi sa zlonamjernim kodom i mora naznačiti šta korisnik mora učiniti, a šta mu je zabranjeno. Konkretno, standard treba da sadrži sljedeća pitanja:

• Antivirusni softver mora biti instaliran na svakoj radnoj stanici, serveru, komunikatoru i pametnom telefonu.
• Svaki od ovih uređaja mora imati način za automatsko ažuriranje antivirusnih potpisa, koji mora biti omogućen i konfiguriran na svakom uređaju.
• Korisnik ne bi trebao biti u mogućnosti da onemogući antivirusni softver.
• Proces uklanjanja virusa mora se unaprijed razviti i planirati, a osoba za kontakt mora biti identificirana i imenovana u slučaju otkrivanja zlonamjernog koda.
• Sve eksterne disk jedinice (USB diskovi, itd.) treba automatski skenirati.
• Datoteke sigurnosne kopije moraju biti skenirane.
• Antivirusne politike i procedure treba revidirati svake godine.
• Antivirusni softver koji koristite mora pružati zaštitu od virusa za pokretanje.
• Antivirusno skeniranje mora se obavljati nezavisno na mrežnom prolazu i na svakom pojedinačnom uređaju.
• Antivirusno skeniranje bi trebalo da se pokreće automatski prema rasporedu. Ne morate se oslanjati na korisnike da ručno pokrenu skeniranje.
• Kritični sistemi moraju biti fizički zaštićeni na takav način da je nemoguća lokalna instalacija zlonamjernog softvera na njih.

Budući da zlonamjerni softver može uzrokovati milijune dolara štete (operativne troškove, gubitak produktivnosti), mnoge kompanije instaliraju antivirusna rješenja na svim ulaznim tačkama mreže. Antivirusni skener se može integrirati u softver mail servera ili . Takav antivirusni skener provjerava sav dolazni promet na prisustvo zlonamjernog koda kako bi ga unaprijed otkrio i zaustavio, čak i prije nego što stigne u internu mrežu. Proizvodi koji implementiraju ovu funkciju mogu skenirati promet sa SMTP, HTTP, FTP i eventualno drugih protokola. Ali važno je shvatiti da takav proizvod prati samo jedan ili dva protokola, a ne sav dolazni promet. Ovo je jedan od razloga zašto bi svaki server i radna stanica trebali imati instaliran antivirusni softver.

U članu 273. Krivičnog zakona Ruske Federacije, pod malware odnosi se na kompjuterske programe ili promjene postojećih programa koji “svjesno dovode do neovlaštenog uništavanja, blokiranja, modifikacije ili kopiranja informacija, ometanja rada računara, računarskog sistema ili njihove mreže”.

Microsoft Corporation koristi izraz zlonamjerni softver, definirajući ga na sljedeći način: „zlonamjerni softver je skraćenica za zlonamjerni softver, koji se obično koristi kao uobičajeni izraz za označavanje bilo kojeg softvera posebno dizajniranog da nanese štetu pojedinačnom računaru, serveru ili računarskoj mreži, bez obzira na bilo da se radi o virusu, špijunskom softveru itd.”

Šteta uzrokovana takvim softverom može uključivati ​​štetu na:

• softver i hardver računara (mreže) napadnutog od strane uljeza;
• podaci o korisnicima računala;
• samom korisniku računara (indirektno);
• korisnici drugih računara (indirektno).

Specifična šteta za korisnike i (ili) vlasnike računarskih sistema i mreža može uključivati ​​sljedeće:

• curenje i (ili) gubitak vrijednih informacija (uključujući finansijske informacije);
• abnormalno ponašanje softvera instaliranog u sistemu;
• naglo povećanje dolaznog i (ili) odlaznog saobraćaja;
• usporavanje ili potpuni kvar računarske mreže;
• gubitak radnog vremena zaposlenih u organizaciji;
• pristup počinitelja resursima korporativne računarske mreže;
• rizik da postanete žrtva prevare.

Znakovi zlonamjernog softvera uključuju sljedeće:

• skrivanje vašeg prisustva u kompjuterskom sistemu;
• implementacija samoumnožavanja, povezivanje vašeg koda sa drugim programima, prijenos vašeg koda u prethodno nezauzeta područja memorije računala;
• izobličenje koda drugih programa u RAM-u računara;
• pohranjivanje podataka iz RAM-a drugih procesa u drugim područjima memorije računala;
• izobličenje, blokiranje, zamjena pohranjenih ili prenesenih podataka dobivenih kao rezultat rada drugih programa ili se već nalaze u vanjskoj memoriji računala;
• netačno obavještavanje korisnika o radnjama koje je navodno izvršio program.

Zlonamjerni program može imati samo jednu od gore navedenih karakteristika ili njihovu kombinaciju. Očigledno, gornja lista nije konačna.

Na osnovu prisutnosti materijalne koristi, zlonamjerni softver (softver) se može podijeliti na:

• ne donosi direktnu materijalnu korist osobi koja je razvila (instalirala) zlonamjerni program (razvijen na temelju huliganizma, „šale“, vandalizma, uključujući vjerske, nacionalističke, političke osnove, samopotvrđivanja i želje za potvrdom svojih kvalifikacija);
• donošenje direktne materijalne koristi počiniocu u vidu krađe povjerljivih informacija, uključujući pristup sistemima banka-klijent, dobijanje PIN kodova kreditnih kartica i drugih ličnih podataka korisnika, kao i sticanje kontrole nad udaljenim računarskim sistemima za svrhu distribucije neželjene pošte sa brojnih „zaraženih“ računara (zombi računara).

Na osnovu svrhe razvoja, zlonamjerni softver se može podijeliti na:

• Softver koji je izvorno razvijen posebno za dobivanje neovlaštenog pristupa informacijama pohranjenim na računalu s ciljem nanošenja štete vlasniku informacija i (ili) vlasniku računala (računarske mreže);
• Softver koji inicijalno nije razvijen posebno za dobijanje neovlaštenog pristupa informacijama pohranjenim na računaru i nije prvobitno imao za cilj da nanese štetu vlasniku informacija i (ili) vlasniku računara (računarske mreže).

Nedavno je došlo do kriminalizacije industrije stvaranja zlonamjernog softvera, što je rezultiralo sljedećim:

• krađa povjerljivih informacija (poslovne tajne, lični podaci);
• stvaranje zombi mreža (“botneta”) dizajniranih za slanje neželjene pošte, distribuiranih napada uskraćivanja usluge (DDoS napadi) i uvođenje trojanskih proxy servera;
• šifriranje korisničkih informacija s naknadnim zahtjevima za ucjenom i otkupninom;
• napadi na antivirusne proizvode;
• takozvano ispiranje (permanent denial of service - PDoS).

Napadi uskraćivanja usluge sada se ne koriste toliko kao sredstvo za iznuđivanje novca od žrtava, već kao sredstvo političkog i kompetitivnog ratovanja. Ako su ranije DoS napadi bili oruđe u rukama samo hakera ili huligana, sada su postali ista roba kao i neželjena e-pošta ili prilagođeni malver. Oglašavanje usluga DoS napada postalo je uobičajeno, a cijene su već uporedive sa troškovima organiziranja neželjene pošte.

Kompanije specijalizovane za računarsku i mrežnu bezbednost obraćaju pažnju na novu vrstu pretnji - takozvano trajno uskraćivanje usluge (ROoS). Nova vrsta napada dobila je drugo ime - ispiranje. Potencijalno je sposoban nanijeti mnogo više štete sistemu od bilo koje druge vrste zlonamjerne aktivnosti na mreži, budući da je usmjeren na onesposobljavanje računarske opreme. RooB napadi su efikasniji i jeftiniji od tradicionalnih vrsta napada, u kojima haker pokušava da instalira malver na sistem žrtve. Prilikom flešovanja, meta napada su programi u VUB fleš memoriji i drajveri uređaja, koji, kada su oštećeni, ometaju rad uređaja i potencijalno su sposobni da ih fizički unište.

Drugi tip napada koji ima za cilj krađu povjerljivih informacija je kada napadači uvode zlonamjerni program u informacioni sistem kompanije koji može blokirati rad sistema. U sljedećoj fazi, napadnuta kompanija dobija pismo od kriminalaca koji traže novac za lozinku koja će im omogućiti da otključaju kompjuterski sistem kompanije. Još jedan sličan način da zaradite novac ilegalno na mreži je pokretanje trojanskih programa na vašem računalu koji mogu šifrirati podatke. Ključ za dešifriranje također šalju kriminalci za određenu novčanu nagradu.

Lični podaci korisnika napadnutog računara koji su od interesa za napadača uključuju:

• dokumenti i drugi korisnički podaci pohranjeni u memoriji računala;
• imena naloga i lozinke za pristup raznim mrežnim resursima (elektronski novac i sistemi plaćanja, internet aukcije, internet pejdžeri, e-pošta, internet stranice i forumi, onlajn igrice);
• e-mail adrese drugih korisnika, 1P adrese drugih računara na mreži.

Zahvaljujući novim mogućnostima koje pruža Internet, a posebno raširenom širenju društvenih mreža, sve veći broj ljudi redovno se okreće internetskim resursima i postaju žrtve sve sofisticiranijih napada, čija je svrha i krađa povjerljivih korisničkih podataka i „zombiranje ” njihove računare u svrhu naknadnog korištenja njihovih resursa od strane prekršitelja.

Učinkovit rad „zombi“ mreže određuju tri komponente od kojih se ona konvencionalno sastoji:

• program za učitavanje čiji je zadatak da distribuira svoj kod i kod bot programa koji obavlja glavni posao;
• bot program koji prikuplja i prenosi povjerljive informacije, šalje neželjenu poštu, učestvuje u EEoB napadu i drugim radnjama koje mu dodijeli prekršilac;
• botnet kontrolni modul koji prikuplja informacije od bot programa i šalje im ažuriranja i, ako je potrebno, nove konfiguracijske datoteke koje "retargetiraju" bot programe.

Primjeri antivirusnog softvera koji je instaliran na korisniku za suzbijanje zlonamjernog softvera su:

• prisilno zaustavljanje antivirusnog skenera ili monitora;
• mijenjanje postavki sigurnosnog sistema kako bi se olakšala implementacija i rad zlonamjernog programa;
• automatski klik na dugme „Preskoči“ nakon što korisnik dobije upozorenje o otkrivenom malveru;
• skrivanje vašeg prisustva u sistemu (tzv. „rutkitovi“);
• kompliciranje antivirusne analize kroz dodatnu transformaciju zlonamjernog koda (šifriranje, zamagljivanje ili zamagljivanje, polimorfizam, pakovanje).

Do posljednjih godina rad antivirusnih programa zasnivao se isključivo na analizi sadržaja skeniranog objekta. U isto vrijeme, ranija metoda otkrivanja virusa zasnovana na potpisima (tzv. skeniranje) koristila je pretragu za fiksnim nizovima bajtova, često na određenom pomaku od početka objekta, sadržanih u binarnom kodu zlonamjernog program. Heuristička analiza, koja se pojavila nešto kasnije, također je provjeravala sadržaj objekta koji se skenira, ali se temeljila na slobodnijoj, vjerovatnoj potrazi za bajt sekvencama karakterističnim za potencijalno zlonamjerni program. Očigledno je da će zlonamjerni program lako zaobići takvu zaštitu ako je svaka njegova kopija novi skup bajtova.

Upravo to je problem koji rješavaju polimorfizam i metamorfizam, čija je suština da se pri kreiranju sljedeće kopije zlonamjerni program potpuno mijenja na nivou skupa bajtova od kojih se sastoji. Međutim, njegova funkcionalnost ostaje nepromijenjena.

Sami enkripcija i zamagljivanje (code obfuscation) prvenstveno imaju za cilj otežati analizu programskog koda, ali, implementirani na određeni način, ispostavljaju se kao vrste polimorfizma (na primjer, šifriranje svake kopije virusa jedinstvenim ključem ). Zamagljivanje samo po sebi komplikuje analizu, ali, korišteno na nov način u svakoj kopiji zlonamjernog softvera, ometa antivirusno skeniranje.

Polimorfizam je postao relativno raširen tek u eri virusa koji inficiraju datoteke. To se objašnjava činjenicom da je pisanje polimorfnog koda vrlo složen i zahtjevan zadatak i opravdano je samo u slučajevima kada se zlonamjerni program samostalno reproducira: svaka njegova nova kopija je manje-više jedinstven skup bajtova. Za većinu modernih zlonamjernih programa koji nemaju funkciju samoreplikacije, ovo nije relevantno. Stoga polimorfizam trenutno nije čest u malveru.

Naprotiv, zamagljivanje, kao i druge metode modifikacije koda, koje u velikoj mjeri rješavaju problem kompliciranja njegove heurističke analize, a ne zadatak kompliciranja skeniranja, zbog ove okolnosti ne gube na svojoj aktuelnosti.

Da bi se smanjila veličina datoteke sa zlonamjernim programom, koriste se takozvani pakeri - posebni programi koji obrađuju datoteku po principu arhivatora. Sporedan i koristan (sa stanovišta suprotstavljanja antivirusnim programima) efekat upotrebe pakera je da je antivirusno skeniranje donekle otežano.

To se objašnjava činjenicom da kada razvija novu modifikaciju zlonamjernog programa, njegov autor obično mijenja nekoliko linija koda, ostavljajući njegovu jezgru netaknutom. U izvršnom kodu se mijenjaju bajtovi u određenom dijelu datoteke, a ako se potpis koji koristi antivirusni program ne sastoji od ovog određenog dijela, onda će zlonamjerni program i dalje biti otkriven. Obrada programa pakerom rješava ovaj problem, jer promjena čak i jednog bajta u izvornom izvršnom kodu rezultira potpuno novim skupom bajtova u upakovanoj datoteci.

Mnogi moderni pakeri, osim kompresije izvorne datoteke, pružaju joj dodatne funkcije samoodbrane koje imaju za cilj da otežaju raspakivanje datoteke i analizu pomoću programa za otklanjanje grešaka.

Zlonamjerni softver (ponekad se naziva i destruktivni uticaji softvera) Uobičajeno je uključiti kompjuterske viruse i softverske oznake. Prvi termin kompjuterski virus uveo američki specijalista F. Cohen 1984. „Klasični” kompjuterski virus je autonomno funkcionalan program koji istovremeno ima tri svojstva:

• mogućnost uključivanja vašeg koda u tijela drugih objekata (datoteke i sistemske oblasti računarske memorije);
• naknadna nezavisna implementacija;
• nezavisna distribucija u kompjuterskim sistemima.

Računarski virusi ne koriste mrežne usluge za prodor na druge računare na mreži. Kopija virusa stiže do udaljenih računala samo ako se zaraženi objekt, iz nekog razloga izvan kontrole virusa, aktivira na drugom računalu, na primjer:

• prilikom inficiranja mrežnih diskova dostupnih korisnicima, virus je prodro u datoteke koje se nalaze na tim mrežnim resursima;
• virus se kopirao na prenosivi medij ili zaražene datoteke na njemu;
• Korisnik je poslao e-poruku s prilogom zaraženim virusom.

Važna činjenica je da virusi nemaju sredstva za širenje izvan granica jednog računara. To se može dogoditi samo kada je prijenosni medij za pohranu podataka (floppy disk, flash drive) zaražen ili kada korisnik sam prenese virusom zaraženu datoteku na drugi računar preko mreže.

Boot virusi inficirati glavni sektor za pokretanje tvrdog diska (Master Boot record - MBR) ili sektor za pokretanje particije tvrdog diska, sistemske diskete ili CD-a za pokretanje (Boot Record - BR), zamjenjujući programe za pokretanje i pokretanje operativnog sistema koji se nalaze na njima sa njihovim kodom. Originalni sadržaj ovih sektora pohranjen je u jednom od slobodnih sektora diska ili direktno u tijelu virusa.

Nakon zaraze MBR-a, koji je prvi sektor nulte glave nultog cilindra tvrdog diska, virus preuzima kontrolu odmah nakon završetka procedure testiranja hardvera (POST), program za podešavanje BIOS-a (ako ga je pozvao korisnika), BIOS procedure i njegove ekstenzije. Nakon što je dobio kontrolu, virus za pokretanje izvršava sljedeće radnje:

• 1) kopiranje vašeg koda na kraj RAM-a računala, čime se smanjuje veličina njegovog slobodnog dijela;
• 2) nadjačavanje nekoliko BIOS prekida, uglavnom vezanih za pristup diskovima;
• 3) učitavanje pravog programa za pokretanje u RAM memoriju računara, čije funkcije uključuju pregled tabele particija čvrstog diska, određivanje aktivne particije, učitavanje i prenos kontrole na program za pokretanje operativnog sistema aktivne particije;
• 4) prenos kontrole na pravi bootstrap program.

Virus za pokretanje u VY radi na sličan način, zamjenjujući program za pokretanje operativnog sistema. Uobičajeni oblik zaraze računara virusom za pokretanje je slučajni pokušaj podizanja sistema sa nesistemske diskete (ili CO diska), čiji je sektor za pokretanje zaražen virusom. Ova situacija se dešava kada zaražena disketa ostane u drajvu kada se operativni sistem ponovo pokrene. Jednom kada je glavni sektor za pokretanje tvrdog diska zaražen, virus se širi prvi put kada se pristupi bilo kojoj nezaraženoj disketi.

Boot virusi obično pripadaju grupi rezidentnih virusa. Boot virusi su bili prilično česti 90-ih godina prošlog stoljeća, ali su praktički nestali s prelaskom na 32-bitne operativne sisteme i napuštanjem upotrebe disketa kao glavne metode razmjene informacija. Teoretski, moguće je da se pojave virusi za pokretanje koji inficiraju SP diskove i fleš diskove, ali do sada takvi virusi nisu otkriveni.

File virusi inficirati fajlove različitih tipova:

• programske datoteke, datoteke drajvera uređaja i ostali moduli operativnog sistema;
• datoteke dokumenata koje mogu sadržavati makroe;
• datoteke dokumenata koje mogu sadržavati skripte (skripte) ili zasebne datoteke skripte, itd.

Kada je datoteka zaražena, virus upisuje svoj kod na početak, sredinu ili kraj datoteke ili na nekoliko mjesta odjednom. Izvorna datoteka se mijenja tako da se, kada se datoteka otvori, kontrola odmah prenosi na virusni kod. Nakon što primi kontrolu, virusni kod obavlja sljedeći niz radnji:

• 1) infekcija drugih datoteka (kombinovani virusi) i sistemskih oblasti disk memorije;
• 2) instaliranje sopstvenih rezidentnih modula (rezidentnih virusa) u RAM;
• 3) obavljanje drugih radnji u zavisnosti od algoritma koji implementira virus;
• 4) nastavak uobičajene procedure za otvaranje datoteke (na primer, prenos kontrole na izvorni kod zaraženog programa).

Virusi u programskim datotekama, kada su zaraženi, mijenjaju svoje zaglavlje na način da nakon učitavanja programa u RAM, kontrola se prenosi na virusni kod. Na primjer, format prenosive izvršne datoteke Windows i OS/2 operativnih sistema (Portable Executable - PE) ima sljedeću strukturu:

• 1) zaglavlje u formatu MS-DOS operativnog sistema;
• 2) kod programa realnog procesorskog režima, koji preuzima kontrolu kada pokušava da pokrene Windows aplikaciju u okruženju operativnog sistema MS-DOS;
• 3) zaglavlje PE fajla;
• 4) dodatno (opciono) zaglavlje PE datoteke;
• 5) zaglavlja i tela svih segmenata aplikacije (programski kod, njegovi statički podaci, podaci koje program izvozi, podaci uvezeni programom, informacije o otklanjanju grešaka, itd.).

Odjeljak koji sadrži opcionalno zaglavlje PE datoteke uključuje polje koje sadrži adresu ulazne tačke aplikacije. Neposredno prije ulazne točke u segmentu koda aplikacije nalazi se tablica adresa uvoza (IAT), koja se popunjava važećim adresama kada se izvršni kod učita u adresni prostor procesa.

Kada virus inficira programsku datoteku, adresa ulazne tačke aplikacije se mijenja tako da ukazuje na početak koda virusa i osigurava da automatski preuzima kontrolu kada se programska datoteka učita. Također je moguće modificirati module kernela operativnog sistema (na primjer, kernel32.dll) da presretnu pozive nekim sistemskim funkcijama (na primjer, CreateProcess, CreateFile, ReadFile, WriteFile, CloseHandle) kako bi se zarazile druge datoteke.

Vrsta virusa datoteka su virusi u klasterima zaraženog logičkog diska ili diskete. Kada se zarazi, virusni kod se kopira u jedan od slobodnih diskova, koji je u Tabeli dodjeljivanja datoteka (FAT) označen kao posljednji klaster datoteka. Zatim se mijenjaju opisi programskih datoteka u direktoriju - umjesto broja prvog klastera koji je dodijeljen datoteci, stavlja se broj klastera koji sadrži kod virusa. U ovom slučaju, pravi broj prvog klastera zaražene datoteke je šifriran i pohranjen, na primjer, u neiskorištenom dijelu opisa datoteke u direktoriju.

Kada se zaražena datoteka pokrene, kontrolu se postiže virusnim kodom, koji:

• 1) instalira svoj rezidentni modul u RAM, koji će naknadno presresti sav pristup zaraženom disku;
• 2) učitava izvorni programski fajl i prenosi kontrolu na njega.

Prilikom naknadnog pristupa direktoriju sa zaraženim datotekama, rezidentni dio virusa prenosi u operativni sistem prave vrijednosti brojeva prvih klastera dodijeljenih zaraženim datotekama.

Virusi u datotekama dokumenata koje su kreirali, na primjer, Microsoft Office programi, distribuiraju se pomoću makroa koji su uključeni u njih (procedure u Visual Basic za aplikacije - VBA programski jezik). Stoga se takvi virusi ponekad nazivaju virusima u makroima ili jednostavno makrovirusi.

Makro programski jezici, posebno VBA, univerzalni su jezici koji podržavaju objektno orijentisanu tehnologiju programiranja, imaju veliku biblioteku standardnih makro naredbi i omogućavaju vam da kreirate prilično složene procedure. Osim toga, podržava automatsko pokretanje makronaredbi povezanih s određenim događajima (na primjer, otvaranje dokumenta) ili određenim radnjama korisnika (na primjer, prilikom pozivanja naredbe za spremanje dokumenta u datoteku).

Primjeri automatskog pokretanja makronaredbi povezanih s određenim događajima obrade Microsoft Word dokumenata uključuju:

• AutoExec (automatski se izvršava kada se pokrene program za obradu teksta Microsoft Word, ako se nalazi u datoteci predloška normal.dot ili u datoteci u poddirektorijumu Startup fascikle Microsoft Office);
• AutoNew (automatski preuzima kontrolu prilikom kreiranja novog dokumenta);
• AutoOpen (automatski se izvršava prilikom otvaranja dokumenta);
• AutoClose (automatski se izvršava prilikom zatvaranja dokumenta);
• Automatski izlaz (automatski preuzima kontrolu kada se završi program za obradu teksta Microsoft Word).

Microsoft Excel procesor tabela podržava samo neke od automatski izvršavanih makroa, a nazivi ovih makroa su malo promijenjeni - Auto_open i Auto_close.

Microsoft Word procesor teksta takođe definiše makroe koji automatski dobijaju kontrolu kada korisnik pozove jednu od standardnih komandi - File Save (File | Save), FileSaveAs (File | Save As), Tools-Macro (Tools | Macro | Macros), ToolsCustomize ( Servis | Postavke) itd.

Microsoft Office dokument takođe može sadržati makroe koji automatski dobijaju kontrolu kada korisnik pritisne određenu kombinaciju tastera na tastaturi ili dostigne određeni trenutak u vremenu (datum, doba dana).

Bilo koji makro (uključujući i one koji se automatski izvršavaju) iz zasebnog dokumenta može se upisati u normal.dot šablonski fajl (i obrnuto) i tako postati dostupan prilikom uređivanja bilo kojeg Microsoft Word dokumenta. Pisanje makroa u normal.dot datoteku može se obaviti pomoću standardne MacroCopy makro naredbe (WordBasic), metode OrganizerCopy objekta Application ili metoda Copy standardnih objekata Organizator (Microsoft Word) i Sheets (Microsoft Excel).

Za manipulaciju datotekama koje se nalaze u vanjskoj memoriji računara, makroi mogu koristiti standardne makro komande Open (otvaranje postojeće ili kreiranje nove datoteke), SetAttr (promjena atributa datoteke), Name (preimenovanje datoteke ili mape), Get (čitanje podataka iz otvorene datoteke), Stavi (upisivanje podataka u otvorenu datoteku), Traži (promjena trenutne pozicije pisanja ili čitanja iz datoteke), Zatvori (zatvaranje datoteke), Kill (brisanje datoteke), RmDir (brisanje foldera ), MkDir (kreirajte novi folder), ChDir (promijenite trenutne foldere) itd.

Standardna Shell makro komanda vam omogućava da izvršite bilo koji od programa ili sistemskih komandi instaliranih na vašem računaru.

Dakle, VBA programski jezik mogu koristiti autori makro virusa za kreiranje veoma opasnog koda. Najjednostavniji makro virus u Microsoft Word dokumentu inficira druge datoteke dokumenata na sljedeći način:

• 1) pri otvaranju zaraženog dokumenta kontrola se daje makrou koji sadrži šifru virusa;
• 2) virus postavlja druge makroe sa sopstvenim kodom u datoteku šablona normal.dot (na primer, FileOpen, FileSaveAs i FileSave);
• 3) virus postavlja odgovarajuću zastavicu u Windows registrator i (ili) u Microsoft Word datoteku za inicijalizaciju koja označava da je došlo do infekcije;
• 4) kada se naknadno pokrene Microsoft Word, prva otvorena datoteka je zapravo već zaražena datoteka šablona normal.dot, koja omogućava virusnom kodu da automatski preuzme kontrolu, a može doći do infekcije drugih datoteka dokumenata kada se sačuvaju pomoću standardnog Microsoft Worda komande.

Možemo reći da većina makro virusa spada u grupu rezidentnih virusa, jer je dio njihovog koda stalno prisutan u RAM-u računala dok je pokrenut program iz Microsoft Office paketa.

Postavljanje makro virusnog koda unutar Microsoft Office dokumenta može se prikazati prilično shematski, budući da je format datoteke dokumenta vrlo složen i sadrži niz blokova podataka različitih formata, koji se međusobno kombiniraju koristeći veliku količinu servisnih podataka. Posebna karakteristika makro virusa je da mogu zaraziti datoteke dokumenata na računarima različitih platformi, a ne samo na IBM PC-ima. Zaraza će biti moguća ako su na računaru instalirani kancelarijski programi koji su u potpunosti kompatibilni sa programima iz Microsoft Office paketa.

Prilikom spremanja datoteka dokumenata, oni također uključuju nasumične podatke koji nisu povezani sa sadržajem dokumenta, ali se nalaze u blokovima RAM-a koji su dodijeljeni, ali nisu u potpunosti popunjeni prilikom uređivanja dokumenta. Stoga, prilikom dodavanja novih podataka u dokument, njegova veličina se može promijeniti na nepredvidiv način, uključujući smanjenje. To nam ne dozvoljava da procijenimo da li je datoteka dokumenta zaražena makro virusima, jer će se i njena veličina nakon infekcije nepredvidivo promijeniti. Također napominjemo da informacije koje su slučajno sačuvane zajedno s javnom dokumentacijom mogu sadržavati povjerljive informacije.

Većina poznatih makro virusa postavlja svoj kod samo u makroe. Međutim, postoje i tipovi virusa u makroima datoteka dokumenata u kojima je kod virusa pohranjen ne samo u makroima. Ovi virusi uključuju mali makro učitavač glavnog virusnog koda, koji poziva uređivač makroa ugrađen u Microsoft Office, kreira novi makro sa kodom virusa, izvršava ga, a zatim briše kreirani makro kako bi sakrio tragove njegovog prisustva. U ovom slučaju, glavni virusni kod je prisutan kao niz nizova bilo u tijelu makronaredbe za učitavanje ili u promjenjivom području zaraženog dokumenta.

Inficiranje datoteke šablona normal.dot nije jedini način na koji se makro virusi mogu širiti na računaru korisnika. Takođe je moguće da se dodatne datoteke šablona koje se nalaze u fascikli Startup unutar fascikle Microsoft Office mogu zaraziti. Drugi način da zarazite datoteke korisničkih dokumenata makro virusima je da ih ubacite u datoteke dodataka programa Microsoft Word koji se nalaze u fascikli Addins u fascikli Microsoft Office. Makro virusi koji ne postavljaju svoj kod u uobičajeni normal.dot predložak mogu se klasificirati kao nerezidentni virusi. Da bi zarazili druge fajlove, ovi makro virusi ili koriste standardne makro komande za rad sa datotekama i fasciklama na VBA jeziku, ili koriste listu nedavno uređenih datoteka od strane korisnika, koja se nalazi u podmeniju „Datoteka“ u programu Microsoft Word i drugim Microsoft Office-om. programe.

Microsoft Excel procesor proračunskih tablica ne koristi datoteku predloška normal.dot, tako da se datoteke iz foldera Startup koriste za zarazu drugih datoteka korisničkih dokumenata. Posebna karakteristika makro virusa koji inficiraju Excel datoteke proračunskih tablica je to što se one mogu pisati koristeći ne samo VBA programski jezik, već i makro jezik "starih" verzija Microsoft Excela, koji je također podržan u kasnijim verzijama ovog procesora proračunskih tablica. .

U sistemu za upravljanje bazom podataka Microsoft Access, makroi napisani posebnim skriptnim jezikom koji ima vrlo ograničene mogućnosti koriste se za automatsko dobijanje kontrole kada dođe do nekog događaja (na primjer, otvaranje baze podataka). Ali ovi automatski izvršeni makroi skripte (na primjer, makro AutoExec koji automatski preuzima kontrolu kada pokrenete Microsoft Access) mogu pozvati potpune makroe napisane u VBA. Stoga, da bi zarazio Microsoft Access bazu podataka, virus mora kreirati ili zamijeniti automatski izvršenu makro skriptu i kopirati modul sa makroima koji sadrže glavni dio virusnog koda u zaraženu bazu podataka.

Poznati su kombinovani virusi koji mogu zaraziti i Microsoft Access baze podataka i Microsoft Word dokumente. Takav virus se sastoji od dva glavna dijela, od kojih svaki inficira datoteke dokumenata svog tipa (.doc ili .mdb). Ali oba dijela takvog virusa mogu prenijeti svoj kod iz jedne Microsoft Office aplikacije u drugu. Prilikom prijenosa virusnog koda iz Microsoft Access-a kreira se zaražena dodatna datoteka šablona (.dot datoteka) u folderu Startup, a prilikom prijenosa virusnog koda iz Microsoft Word-a kreira se zaražena datoteka Access baze podataka koja se kao parametar prosljeđuje u Microsoft Access aplikacija pokrenuta virusnim kodom (msaccess .exe).

Antivirusne kompanije izvještavaju o novom trendu u širenju virusa. Nakon talasa virusa e-pošte i skripti, fleš diskovi povezani sa računarom preko USB-a sada su jedan od najpopularnijih načina za distribuciju zlonamernog softvera. Ovo je postalo moguće zbog slabosti Windows operativnog sistema, koji podrazumevano automatski pokreće autorun.inf datoteku sa prenosivog diska.

Prema nekim stručnjacima, INF/Autorun servis u Windows OS može se smatrati glavnom sigurnosnom rupom u računarskim sistemima. Za razliku od slanja zaraženih programa e-poštom, u ovom slučaju čak ni kompetentan korisnik praktično nije u mogućnosti spriječiti infekciju, jer jednostavnim ubacivanjem zaraženog uređaja u USB konektor, proces postaje nepovratan. Jedina prevencija može biti onemogućavanje automatskog pokretanja, što preporučuju čak i stručnjaci za sigurnost iz samog Microsofta.

Moglo bi se reći da je širenje virusa na USB diskovima na neki način povratak na izvore stvaranja virusa, kada Internet još nije postojao. Tada su se virusi širili sa računara na računar pomoću disketa.

Softverski bookmark je program eksterni ili interni za računarski sistem koji se napada i koji ima određene destruktivne funkcije u odnosu na ovaj sistem:

• distribucija u distribuiranim računarskim sistemima u cilju implementacije jedne ili druge prijetnje sigurnosti informacija (računarski ili mrežni crvi, koji, za razliku od kompjuterskih virusa, ne bi trebali imati svojstvo uključivanja svog koda u tijela drugih datoteka);
• izvođenje različitih radnji koje korisnik ne ovlasti (prikupljanje povjerljivih informacija i njihovo prosljeđivanje nasilniku, uništavanje ili namjerna modifikacija korisničkih informacija, ometanje rada računara, korištenje računarskih resursa u nedostojne svrhe („trojanski“ programi ili jednostavno „trojanci“) );
• uništavanje ili modifikacija funkcionisanja CS softvera, uništavanje ili promjena podataka koji se obrađuju u njemu nakon ispunjenja nekog uslova ili prijema neke poruke izvan CS-a („logičke bombe“);
• zamjena pojedinih funkcija sigurnosnog podsistema CS-a ili stvaranje „zamki” u njemu za implementaciju prijetnji sigurnosti informacija u CS-u (na primjer, zamjena sredstava za šifriranje emulacijom rada hardverske ploče za šifriranje instalirane u CS-u) ;
• presretanje korisničkih lozinki CS simulacijom poziva za unos ili presretanje svih korisničkih unosa sa tastature;
• presretanje toka informacija koje se prenose između objekata distribuiranog CS-a (monitori);
• Oportunistički programi koje su razvili legitimni proizvođači, ali sadrže potencijalno opasne funkcije koje napadač može koristiti.

U pravilu, da bi mrežni crv počeo sa radom, potrebno je da pokrenete datoteku primljenu e-poštom (ili slijedite vezu koja se nalazi direktno u poruci e-pošte). Ali postoje i crvi čija aktivacija ne zahtijeva ljudsku intervenciju:

• crv je sadržan u tekstu samog pisma i pokreće se kada korisnik jednostavno otvori poruku (ili se otvori u oknu za pregled u prozoru klijenta pošte) (slovo je u ovom slučaju tekst na jeziku koji sadrži skriptu sa kod crva);
• Crv iskorištava „rupe“ (praznine, ranjivosti) u sigurnosnim sistemima operativnih sistema i drugih programa (na primjer, e-pošta).

Kako bi naveli korisnika da pokrene fajl primljen putem e-pošte, kriminalci koriste vrlo sofisticirane tehnologije zvane društveni inženjering. Na primjer, ponuda da se ispuni obrazac priložen uz pismo kako bi se dobila velika novčana nagrada koju je korisnik navodno osvojio. Ili prerušen u službenu poštu od poznate softverske kompanije (treba znati da te kompanije nikada ne šalju datoteke bez zahtjeva korisnika) itd.

Jednom kada se pokrene, crv je u mogućnosti da pošalje svoj kod putem e-pošte koristeći "adresar" programa za e-poštu. Nakon toga, zaraženi su i računari prijatelja korisnika zaraženog računara.

Glavna razlika između mrežnih crva i klasičnih virusa je upravo sposobnost samoproširenja kroz mrežu, kao i odsustvo potrebe za inficiranjem drugih lokalnih objekata na zaraženom računaru.

Za širenje, mrežni crvi koriste različite računarske i mobilne mreže: e-poštu, sisteme za trenutnu razmjenu poruka, dijeljenje datoteka (P2P) i IRC mreže, lokalne mreže (LAN), mreže za razmjenu podataka između mobilnih uređaja (telefona, PDA) itd. .d.

Većina poznatih crva se distribuira u obliku datoteka: prilog e-mailu, link do zaražene datoteke na nekom webu ili FTP poruci u ICQ i IRC porukama, datoteka u direktoriju P2P razmjene, itd. Neki crvi (tako- zvani crvi bez datoteka ili paketa) šire se u obliku mrežnih paketa, prodiru direktno u memoriju računara i aktiviraju njihov kod.

Neki crvi također imaju svojstva drugih vrsta zlonamjernog softvera. Na primjer, neki crvi sadrže funkcije za prikupljanje i prijenos povjerljivim informacijama korisnika zaraženog računara uljezu ili su u stanju da zaraze izvršne datoteke na lokalnom disku zaraženog računara, tj. imaju svojstva trojanskog programa i (ili) kompjuterski virus.

Na sl. Tabela 4.1 prikazuje podatke koji pokazuju distribuciju kompjuterskih virusa (virusa) i različitih kategorija mrežnih crva (crva) u 2008. (prema Kaspersky Lab).

Rice. 4.1.

Određene kategorije trojanskih programa uzrokuju štetu udaljenim računarima i mrežama bez štete po zaraženi računar (na primjer, trojanski programi dizajnirani za masovne DDoS napade na udaljene mrežne resurse).

Za razliku od crva i virusa, trojanci ne oštećuju druge datoteke i nemaju vlastita sredstva za širenje. To su jednostavno programi koji izvršavaju radnje štetne za korisnika zaraženog računara, na primjer, presretanje lozinke za pristup Internetu.

Trenutno, u okviru klase trojanskih programa, stručnjaci Kaspersky Lab-a identifikuju tri glavne grupe ponašanja:

• Backdoor (daje napadaču mogućnost daljinske administracije zaraženog računara), Trojan-Downloader (isporuka drugih zlonamjernih programa na računar korisnika), Trojan-PSW (presretanje lozinke), Trojanac (drugi trojanski programi), najčešći trojanac programi;
• Trojan-Spy (špijunski softver), Trojan-Dropper (instalacioni programi za druge zlonamerne programe);
• Trojan-Proxy (“trojanski” proxy serveri), Trojan-Clicker (internet klikeri), Rootkit (skrivanje prisustva u računarskom sistemu), Trojan-DDoS (programi za učešće u distribuiranim napadima uskraćivanja usluge), Trojan-SMS (“ mobilni trojanci” su najhitnija prijetnja mobilnim uređajima).

Neki programi imaju skup funkcija koje mogu naštetiti korisniku samo ako su ispunjeni određeni uvjeti. Štaviše, takvi programi se mogu legalno prodavati i koristiti u svakodnevnom radu, na primjer, od strane administratora sistema. Međutim, u rukama uljeza, takvi se programi mogu pretvoriti u alat koji se može koristiti za nanošenje štete korisniku. Stručnjaci Kaspersky Lab-a klasifikuju takve programe u posebnu grupu uslovno opasnih programa (ne mogu se jednoznačno klasifikovati ni kao opasni ni bezbedni).

Ovu vrstu programa antivirusni programi opciono otkrivaju ako korisnik svjesno odabere prošireni skup antivirusnih baza podataka. Ako su programi otkriveni prilikom korištenja proširenih baza podataka poznati korisniku i on je 100% siguran da neće naštetiti njegovim podacima (npr. korisnik je sam kupio ovaj program, upoznat je s njegovim funkcijama i koristi ih u legalne svrhe ), tada korisnik može ili odbiti daljnju upotrebu proširenih antivirusnih baza podataka, ili dodati takve programe na listu „izuzetaka“ (programi za koje će dalje otkrivanje biti onemogućeno).

Potencijalno opasni programi uključuju programe klasa RiskWare (legalno distribuirani potencijalno opasni programi), Porn Ware (programi za prikazivanje pornografskih informacija) i AdWare (softver za oglašavanje).

Klasa programa RiskWare uključuje legalne programe (neki od njih se slobodno prodaju i naširoko se koriste u legalne svrhe), koji ipak, u rukama uljeza, mogu nanijeti štetu korisniku i njegovim podacima. U takvim programima možete pronaći legalne uslužne programe za udaljenu administraciju, IRC klijentske programe, programe za automatsko biranje brojeva („birači”), programe za preuzimanje („prekidači”), monitore bilo koje aktivnosti (monitor), uslužne programe za rad sa lozinkama, kao i brojni Internet serveri za FTP, Web, Proxy i Telnet usluge.

Svi ovi programi sami po sebi nisu zlonamjerni, ali imaju mogućnosti koje napadači mogu iskoristiti kako bi nanijeli štetu korisnicima. Na primjer, program za udaljenu administraciju vam omogućava da pristupite interfejsu udaljenog računara i da se koristi za upravljanje i nadgledanje udaljene mašine. Takav program može biti potpuno legalan, slobodno distribuiran i neophodan u radu sistemskih administratora ili drugih tehničkih stručnjaka. Međutim, u rukama prekršitelja, takav program može nanijeti štetu korisniku i njegovim podacima tako što će dobiti potpuni daljinski pristup tuđem računaru.

Kao drugi primjer, uzmite u obzir uslužni program koji je klijent IRC mreže: naprednu funkcionalnost takvog uslužnog programa mogu iskoristiti nasilnici i trojanski programi koje oni distribuiraju (posebno Backdoor), koji koriste funkcije takvog uslužnog programa. klijenta u svom radu. Dakle, trojanski program može bez znanja korisnika dodati vlastite skripte u konfiguracijsku datoteku IRC klijenta i uspješno izvoditi svoje destruktivne funkcije na zaraženom stroju. U tom slučaju korisnik neće ni posumnjati da na njegovom računaru radi zlonamjerni trojanski program.

Često zlonamjerni programi samostalno instaliraju IRC klijenta na računalo korisnika za naknadnu upotrebu u vlastite svrhe. U ovom slučaju, lokacija je obično Windows folder i njegove podmape. Pronalaženje IRC klijenta u ovim fasciklama gotovo sigurno ukazuje da je računar zaražen nekom vrstom zlonamernog softvera.

Softver za oglašavanje (Adware, Advware, Spyware, Browser Hijackers) dizajniran je za prikazivanje reklamnih poruka (najčešće u obliku grafičkih banera) i preusmjeravanje upita za pretraživanje na reklamne web stranice. Osim prikazivanja reklama, takvi programi, po pravilu, ni na koji način ne pokazuju svoje prisustvo u sistemu. Adware programi obično nemaju proceduru deinstalacije.

• ugrađivanjem reklamnih komponenti u besplatni i shareware softver (freeware, shareware);
• neovlaštenom instalacijom reklamnih komponenti kada korisnik posjeti “zaražene” web stranice.

Većina programa u kategorijama freeware i shareware prestaje da prikazuje reklame nakon što su kupljeni i/ili registrovani. Takvi programi često koriste ugrađene Adware uslužne programe trećih proizvođača. U nekim slučajevima, ovi Adware uslužni programi ostaju instalirani na korisnikovom računalu čak i nakon registracije programa s kojima su prvobitno ušli u sistem korisnika. U isto vrijeme, uklanjanje Adware komponente koju još uvijek koristi bilo koji program za prikazivanje reklama može dovesti do kvarova ovog programa.

Osnovna svrha ove vrste Adware-a je implicitni oblik plaćanja softvera, koji se provodi prikazivanjem reklamnih informacija korisniku (oglašivači plaćaju reklamnoj agenciji za prikazivanje svog oglašavanja, a reklamna agencija plaća programeru Adware-a). Adware pomaže u smanjenju troškova kako za programere softvera (prihodi od Adwarea ih podstiču da pišu nove i poboljšaju postojeće programe) tako i za same korisnike.

U slučaju instaliranja reklamnih komponenti kada korisnik posjeti „zaražene“ web stranice, u većini slučajeva se koriste hakerske tehnologije (prodiranje u računar kroz rupu u sigurnosnom sistemu internet pretraživača, kao i korištenje „trojana“). ” programi dizajnirani da tajno instaliraju softver). Adware programi koji djeluju na ovaj način često se nazivaju “otmičari pretraživača”.

Uz isporuku reklama, mnogi programi za oglašavanje prikupljaju i povjerljive informacije o računaru i korisniku (IP adresa, OS i verzija internet pretraživača, lista najčešće korištenih internetskih resursa, upiti za pretraživanje i druge informacije koje se mogu koristiti u reklamne svrhe ).

Iz tog razloga, Adver programi se često nazivaju i špijunskim softverom (adver u kategoriji špijunskog softvera ne treba mešati sa špijunskim softverom Trojan-Spy). Programi u kategoriji Adware uzrokuju štetu koja je povezana ne samo s gubitkom vremena i odvraćanjem korisnika od posla, već i sa vrlo realnom prijetnjom od curenja povjerljivih podataka.

Distribucija programa klasa RiskWare i PornWare prema ponašanju može se predstaviti u obliku kružnog grafikona (slika 4.2, prema Kaspersky Lab-u).

AdTool su različiti reklamni moduli koji se ne mogu klasificirati kao AdWare, budući da imaju potrebne pravne atribute: opremljeni su licencnim ugovorom, demonstriraju svoje prisustvo na računalu i obavještavaju korisnika o svojim radnjama.

Rice. 4.2.

Porn-Dialers samostalno (bez obavještavanja korisnika) uspostavljaju telefonske veze sa premium brojevima, što često dovodi do sudskih sporova između pretplatnika i njihovih telefonskih kompanija.

Programi u kategoriji Monitor uključuju legalne “key loggere” (programe za praćenje pritisaka na tipke), koji se službeno proizvode i prodaju, ali ako imaju funkciju sakrivanja svog prisustva u sistemu, takvi programi se mogu koristiti kao punopravni špijunski trojanci. .

Programi u kategoriji PSW-Tool dizajnirani su da povrate zaboravljene lozinke, ali ih kriminalci lako mogu koristiti da izvuku ove lozinke iz kompjuterske memorije nesuđene žrtve. Programe u kategoriji Downloader mogu koristiti kriminalci za preuzimanje zlonamjernog sadržaja na računar žrtve.

Drugi zlonamjerni softver uključuje niz programa koji ne predstavljaju direktnu prijetnju računaru na kojem se izvršavaju, ali su dizajnirani da kreiraju druge zlonamjerne programe, organiziraju DDoS napade na udaljene servere, hakuju druge računare itd.

Takvi programi uključuju prevare virusa (Hoax) i lažne antivirusne programe (FraudTool), "hakerske" programe za "hakovanje" udaljenih računara (Exploit, HackTool), konstruktore i pakere zlonamjernih programa (Constructor, VirTool, Packed), programe za slanje neželjene pošte i napadi „začepljenja“ (SpamTool, IM-Flooder, Flooder), programi za obmanjivanje korisnika (BadJoke).

Glavni tip FraudTool-a su takozvani rogue-antivirus - programi koji se pretvaraju da su punopravni antivirusni alati. Nakon što ga instaliraju na računar, uvijek “nađu” neku vrstu virusa, čak i na apsolutno “čistom” računarskom sistemu, i ponude da kupe njihovu plaćenu verziju za “liječenje”. Osim što direktno obmanjuju korisnike, ovi programi sadrže i AdWare funkciju. Zapravo, ovo je prava prevara zasnovana na strahu korisnika od zlonamjernog softvera.

Hakerski uslužni programi kategorija Exploit i HackTool dizajnirani su da prodru u udaljene računare u svrhu dalje kontrole nad njima (koristeći backdoor trojanske programe) ili da uvedu druge zlonamjerne programe u hakovani sistem. Hakerski uslužni programi kao što je “eksploatacija” iskorištavaju ranjivosti u operativnim sistemima ili aplikacijama instaliranim na napadnutom računaru.

Konstruktori virusa i trojanskih programa su uslužni programi dizajnirani za kreiranje novih kompjuterskih virusa i trojanskih konja. Poznati su dizajneri virusa za DOS, Windows i makro viruse. Oni vam omogućavaju da generišete izvorne tekstove virusa, objektne module i (ili) direktno zaražene datoteke.

Neki konstruktori su opremljeni standardnim grafičkim sučeljem, gdje pomoću sistema izbornika možete odabrati vrstu virusa, objekte na koje treba utjecati, prisustvo ili odsustvo enkripcije, otpornost na debuger, interne tekstualne nizove, kao i efekte prateći rad virusa itd. Ostali konstruktori nemaju interfejs i čitaju informacije o vrsti virusa koji se kreira iz svog konfiguracionog fajla.

Uslužni programi kategorije Nuker šalju posebno dizajnirane zahtjeve napadnutim računarima na mreži, zbog čega napadnuti sistem prestaje da radi. Ovi programi iskorištavaju ranjivosti u softveru mrežnih servisa i operativnih sistema, zbog čega poseban tip mrežnog zahtjeva uzrokuje kritičnu grešku u napadnutoj aplikaciji.

Programi u kategorijama Bad-Joke i Hoax uključuju programe koji ne uzrokuju nikakvu direktnu štetu na računalu, ali prikazuju poruke koje ukazuju da je takva šteta već uzrokovana, ili će biti uzrokovana pod bilo kojim uvjetima, ili upozorava korisnika na nepostojeću opasnost. “Zle šale” uključuju, na primjer, programe koji korisniku prikazuju poruke o formatiranju tvrdog diska (iako se formatiranje zapravo ne dešava), otkrivaju viruse u neinficiranim datotekama, prikazuju čudne poruke nalik virusima, itd.

Polimorfni generatori nisu virusi u doslovnom smislu riječi, jer njihov algoritam ne uključuje funkcije reprodukcije. Glavna funkcija ove vrste programa je šifriranje tijela virusa i generiranje odgovarajućeg dekriptora.

Tipično, polimorfne generatore njihovi autori distribuiraju bez ograničenja u obliku arhivske datoteke. Glavna datoteka u arhivi bilo kojeg generatora je objektni modul koji sadrži ovaj generator.

Evolucija funkcionisanja zlonamjernog softvera od pojedinačnih modula do složenih i međusobno povezanih projekata započela je početkom ovog stoljeća. Novi model funkcioniranja zlonamjernog softvera ne samo da bi trebao postati standard za masu novih zlonamjernih projekata, već bi se trebao i dalje razvijati.

Glavne karakteristike ovog modela su sljedeće:

• nedostatak jedinstvenog kontrolnog centra za mrežu zaraženih računara;
• aktivno suprotstavljanje pokušajima istraživanja treće strane i presretanje kontrole;
• Istovremena masovna i kratkoročna distribucija zlonamjernog koda;
• kompetentna upotreba alata socijalnog inženjeringa;
• korištenje različitih metoda distribucije i postepeno ukidanje onih najvidljivijih (e-mail);
• korištenje različitih modula za implementaciju različitih funkcija (umjesto jednog univerzalnog).

Po analogiji sa dobro poznatim terminom Web 2.0, nova generacija malvera može se nazvati MalWare 2.0.

Tehnika sakrivanja prisustva u sistemu (rootkitovi) će se koristiti ne samo u trojanskim programima, već iu fajl virusima. Tako će doći do povratka u vremena MS-DOS operativnog sistema, kada su postojali rezidentni stelt virusi. Ovo je logičan razvoj metoda za suzbijanje antivirusnih programa. Zlonamjerni programi sada imaju tendenciju da “prežive” na sistemu čak i nakon što su otkriveni.

Još jedan opasan način da se sakrijete prisustvo programa na računaru je tehnologija zaraze boot sektora diska - takozvani "bootkits". Ovo je još jedan povratak stare tehnike, omogućavajući zlonamjernom programu da preuzme kontrolu prije nego što se glavni dio operativnog sistema (i antivirusnih programa) učita. Bootkiti su rootkiti sa funkcijom učitavanja iz sektora za pokretanje bilo kojeg uređaja. Njihova opasnost leži u činjenici da zlonamjerni kod dobije kontrolu i prije nego što se operativni sistem, a samim tim i antivirusni program, pokrene.

Jedan od najupečatljivijih primjera implementacije bootkit tehnologije je vbootkit. Pojednostavljeni niz vbootkit akcija izgleda ovako. Nakon uključivanja računara i pokretanja BIOS programa, Vbootkit kod (sa CD-a ili drugog uređaja) se aktivira. Zatim se izvršavaju programi za pokretanje iz MBR-a i Windows Vista boot loader, nakon čega se kontrola prenosi na jezgro ovog operativnog sistema.

Jednom kada vbootkit dobije kontrolu nad sistemom, pokreće BIOS 13 prekid, a zatim traži potpise za Windows Vista. Jednom otkriven, počinje modificirati Windows Vista dok se skriva (postavljanjem svog koda u male komade u različitim područjima RAM-a). Ove modifikacije uključuju zaobilaženje sigurnosnih mjera kao što su provjera elektronskih digitalnih potpisa, provjera hešova i izvođenje određenih radnji za održavanje kontrole nad sistemom tokom prve i druge faze procesa pokretanja.

Druga faza uključuje proširenje kernela operativnog sistema tako da vbootkit zadrži kontrolu nad njim dok se ponovo ne pokrene. Na ovaj način korisnik će imati vbootkit učitan u jezgro Windows Vista.

Bootkiti pohranjuju u boot sektor samo minimum potreban za pokretanje glavnog koda. Ovaj jezgro kod se pohranjuje u drugim sektorima, čiji sadržaj bootkit sakriva presretanje BIOS prekida za čitanje sektora.

Korisnici društvenih mreža mogu postati glavna meta takozvanog phishinga. Akreditivi pretplatnika različitih mrežnih usluga bit će veoma traženi među prekršiocima. Ovo će biti važna alternativa tehnici postavljanja zlonamjernog softvera na hakovane web stranice. Trojanski programi se mogu distribuirati upravo preko naloga korisnika društvenih mreža, preko njihovih blogova i profila.

Drugi problem vezan za društvene mreže može biti XSSPHPSQL-aTaKH. Za razliku od phishinga, koji se oslanja isključivo na obmanu i tehnike društvenog inženjeringa, ovi napadi iskorištavaju greške i ranjivosti u samim Web 2.0 uslugama i mogu utjecati čak i na vrlo pismene korisnike. U ovom slučaju, meta nasilnika su lični podaci korisnika koji su potrebni za kreiranje određenih baza podataka i lista za provođenje naknadnih napada „tradicionalnim“ metodama.

Glavni faktori koji obezbeđuju istovremeno interesovanje korisnika i hakera za Web 2.0 usluge su:

• Prijenos korisničkih podataka s osobnog računala na Internet;
• korištenje jednog računa za nekoliko različitih usluga;
• dostupnost detaljnih informacija o korisnicima;
• dostupnost informacija o vezama, kontaktima i poznanstvima korisnika;
• obezbjeđivanje mjesta za objavljivanje bilo koje informacije;
• odnose poverenja između kontakata.

Ovaj problem je već prilično ozbiljan i, prema mišljenju stručnjaka, ima sve šanse da postane veliki problem informacione sigurnosti.

Što se tiče mobilnih uređaja, a prvenstveno mobilnih telefona, prijetnje po njima su raspoređene između primitivnih trojanskih programa i raznih ranjivosti operativnih sistema i aplikacija za pametne telefone.

U skladu sa načinima uvođenja softverskih oznaka u CS i mogućim lokacijama za njihovo postavljanje u sistem, oznake se mogu podijeliti u sljedeće grupe:

• softverske oznake povezane s BIOS-om;
• oznake povezane s programima za pokretanje i pokretanje operativnog sistema;
• oznake povezane sa drajverima operativnog sistema i drugim sistemskim modulima;
• oznake povezane s aplikativnim softverom opće namjene (na primjer, arhivatori);
• programske datoteke koje sadrže samo knjižni kod i implementirane pomoću batch datoteka;
• oznake koje se maskiraju kao aplikativni softver opće namjene;
• obeleživači prerušeni u igrice i obrazovni softver (kako bi se olakšala njihova početna implementacija u računarskom sistemu).

Poglavlje 1. KARAKTERISTIKE SPROVOĐENJA ♦ MALVERA U KRITIČNOM

VAŽNI SEGMENTI INFORMACIONE SFERE.

1.1. Zlonamjerni programi kao izvor prijetnji kritičnim segmentima informacione sfere.

1.2. Suprotstavljanje malveru u kritičnim segmentima informacione sfere.

1.3. Izjava o problemu sveobuhvatne procjene efikasnosti suzbijanja zlonamjernog softvera u kritičnim segmentima informacione sfere.

1.4. Zaključci.

Poglavlje 2. FORMIRANJE INDIKATORA

EFIKASNOST PROTIV MALVERA U KRITIČNIM SEGMENTIMA INFORMACIONE SFERE.

2.1. Metodologija za strukturiranje indikatora učinka protiv zlonamjernog softvera.

2.2. Metodologija za sintezu hijerarhijske strukture indikatora efikasnosti anti-malware-a.

2.3. Jedinstveni opis strukture indikatora učinka za zaštitu od zlonamjernog softvera

2.4. Zaključci.

Poglavlje 3. MATEMATIČKO MODELIRANJE

PROCESI ZA SUZBIJANJE MALVERA U KRITIČNIM SEGMENTIMA INFORMACIONE SFERE.

3.1. Karakteristike sinteze matematičkog modela za procjenu efikasnosti suzbijanja zlonamjernog softvera.

3.2. Formalni prikaz procesa funkcionisanja anti-malware alata.

3.3. Simulacijski model za procjenu vremenske efikasnosti suzbijanja zlonamjernog softvera

3.4. Analitički modeli za procjenu probabilističkih indikatora efikasnosti suzbijanja zlonamjernog softvera. ^

3.5. Prezentacija početnih podataka za procjenu probabilističkih indikatora efikasnosti suprotstavljanja malveru.

3.6. Zaključci.

Poglavlje 4. RAČUNARSKI EKSPERIMENTI ZA PROCJENU EFIKASNOSTI PROTIV MALVERA U KRITIČNO VAŽNIM SEGMENTIMA INFORMACIONE SFERE.

4.1. Metodologija za planiranje kompjuterskih eksperimenata za procjenu efikasnosti suzbijanja zlonamjernog softvera

4.2. Rezultati računskih eksperimenata.

4.3. Analiza efikasnosti predloženog metoda za procjenu protivpostupanja malveru.

4.4. Zaključci.

Preporučena lista disertacija

• Matematički modeli generalizovane procene efikasnosti suprotstavljanja pretnjama bezbednosti segmenata informacione sfere 2006, kandidat tehničkih nauka Lihodedov, Denis Yurievich

• Funkcionalno modeliranje zlonamjernih uticaja na kritične segmente informacione sfere 2008, kandidat tehničkih nauka Modestov, Aleksej Albertovič

• Modeliranje i optimizacija funkcionisanja automatizovanih kontrolnih sistema organa unutrašnjih poslova u kontekstu suzbijanja zlonamernog softvera 1999, doktor tehničkih nauka Skril, Sergej Vasiljevič

• Teorijske osnove i praktična implementacija sinteze informacionih sistema za automatizovane upravljačke komplekse kritičnih objekata 2009, doktor tehničkih nauka Krupenin, Aleksandar Vladimirovič

• Istraživanje i razvoj algoritama za prepoznavanje zlonamjernog softvera pri suzbijanju neovlaštenog utjecaja na informacione resurse sigurnih računarskih mreža 2004, kandidat tehničkih nauka Kiselev, Vadim Vjačeslavovič

Uvod u disertaciju (dio apstrakta) na temu “Razvoj i istraživanje algoritama za sveobuhvatnu procjenu efikasnosti suzbijanja zlonamjernog softvera u kritičnim segmentima informacione sfere”

Relevantnost teme istraživanja. Intenzivan razvoj i unapređenje informacionih tehnologija dovodi do potrebe da se širenje informacione sfere posmatra kao dominantan trend. To je dovelo do pojave posebne klase elemenata ove sfere, njenih takozvanih kritičnih segmenata - informacionih sistema koji podržavaju aktivnosti državnih organa /1/, sistema upravljanja komunikacionom infrastrukturom /2/, finansija /3/, energetike /4 /, transport 151 i hitne službe 161. Istovremeno, širenje informacione sfere dovelo je do pojave različitih vrsta prijetnji elementima informacione sfere 111. Istovremeno, njeni kritični segmenti su postali glavni predmet takvih prijetnji. To je uslovilo potrebu rješavanja niza problema vezanih za organizovanje zaštite informacione sfere kako bi se spriječila šteta od narušavanja njene sigurnosti u prisustvu različitih izvora prijetnji /8 - 13/.

Jedan od najozbiljnijih izvora prijetnji u informacionoj sferi je malver /14 - 16/ - jedan od glavnih alata za nezakonitu manipulaciju informacijama /17/ u svojim računarskim mrežama /18/. Zlonamjerni programi su dizajnirani od strane visokokvalifikovanih stručnjaka /19/ kao programi tipa virusa /20 - 26/, što omogućava korištenje prednosti kompjuterskih virusa kao što su izomorfna struktura, mogućnost kreiranja vlastitih kopija i ispoljavanja samo pod određenim parametri računarskog okruženja /27 - 28/. Ova svojstva omogućavaju zlonamjernim programima da implementiraju funkcije nedozvoljene manipulacije informacijama u izuzetno kratkim vremenskim periodima, što značajno otežava mogućnost njihovog otkrivanja i eliminacije, te kao rezultat takve programe svrstava u kategoriju jednog od najnaprednijih alata. za nezakonite radnje u informacionoj sferi danas /29/.

Zlonamjerni programi utječu, prije svega, na privremene karakteristike elemenata informacione sfere, jer njihov uticaj dovodi do značajnih privremenih gubitaka povezanih sa vraćanjem ispravnosti informacijskih procesa.

S tim u vezi, postaje očigledno da su zlonamjerni programi faktor značajnog smanjenja efikasnosti korištenja, prije svega, kritičnih segmenata informacione sfere, budući da su njihove aktivnosti usmjerene na brzu obradu dolaznih informacija. To nam zauzvrat omogućava da zlonamjerni softver klasifikujemo kao posebnu klasu najozbiljnijih prijetnji sigurnosti informacionog sektora.

Dakle, problem zaštite kritičnih segmenata informacione sfere od ove vrste prijetnji postaje hitan. Očigledno je da se njegovo rješavanje mora provoditi sistematski, na osnovu sveobuhvatne studije anti-malware tehnologija. Činjenica da takve tehnologije karakterišu mnogi heterogeni parametri čini njihovu istraživačku problematiku složenom, kako naučno tako i praktično.

Slične studije sugeriraju:

Sprovođenje sistemske analize stanja zaštite od malvera u celini u informacionoj sferi i njenih pojedinačnih kritičnih segmenata;

Istraživanje učinkovitih metoda i sredstava za suzbijanje zlonamjernog softvera;

Procjena anti-malware tehnologija u kritičnim segmentima informacione sfere.

Sve ovo je iziskivalo traženje pristupa za procjenu efikasnosti suzbijanja zlonamjernog softvera koji bi sistematski uzimali u obzir sva mnoga svojstva korištenih tehnologija.

Kako pokazuje analiza stanja problema /30/, jedan od najperspektivnijih načina za rješavanje ovog problema je sinteza kompleksnog indikatora koji karakteriše mogućnosti tehnologija koje se koriste za suzbijanje malvera. Istovremeno, sinteza složenog indikatora ima niz karakteristika povezanih s prisutnošću mnogih pravaca kako u klasifikaciji mogućnosti različitih tehnologija za suzbijanje zlonamjernog softvera, tako iu korištenju matematičkih alata za istraživanje.

To je omogućilo da se predloži fundamentalno novi pristup rješavanju problema sveobuhvatne procjene efikasnosti suzbijanja zlonamjernog softvera u kritičnim segmentima informacione sfere.

Suština ovog pristupa je da se razviju razumna pravila za sintezu sveobuhvatnog indikatora efikasnosti suzbijanja zlonamjernog softvera, čiji će oblik biti optimalan sa stanovišta odražavanja mogućnosti korištenih tehnologija za suzbijanje.

Uprkos činjenici da je unapređenje teorije i prakse osiguranja informacione sigurnosti postalo izuzetno hitan problem, posebne studije u vezi sa zadacima sveobuhvatne procene efikasnosti suzbijanja zlonamernih programa u informacionoj sferi uopšte i suprotstavljanja zlonamernim programima u njenoj posebno kritični segmenti nisu realizovani.

S obzirom na činjenicu da predložena metoda za procjenu efikasnosti suzbijanja zlonamjernog softvera nije obrađena u dostupnoj literaturi, a poznate metode ne omogućavaju sveobuhvatnu procjenu mogućnosti anti-malware alata, to daje osnov za tvrdnju da Zadatak razvoja metoda za sveobuhvatnu procjenu efikasnosti ovih alata je izuzetno relevantan, a pitanja vezana za ovu oblast zahtijevaju ozbiljno proučavanje kako u metodološkom tako i u primijenjenom smislu. Sve ovo ukazuje na relevantnost teme ove disertacije, sprovedene u skladu sa Doktrinom informacione bezbednosti Ruske Federacije 111, kao i u skladu sa naučnim smernicama Voronješkog instituta Ministarstva unutrašnjih poslova Rusije. na obrazloženje zahtjeva za sredstva i sisteme informacione sigurnosti.

Predmet istraživanja su tehnologije za suzbijanje malvera u kritičnim segmentima informacione sfere.

Predmet istraživanja su metode za sveobuhvatnu procjenu efikasnosti suzbijanja zlonamjernog softvera u kritičnim segmentima informacione sfere.

Cilj rada na disertaciji je unapređenje metoda za procjenu suzbijanja zlonamjernog softvera u kritičnim segmentima informacione sfere na osnovu sinteze sveobuhvatnog indikatora efikasnosti korištenih tehnologija za suzbijanje zlonamjernog softvera.

Za postizanje cilja rješavaju se sljedeći naučni zadaci:

Teorijsko opravdanje sistemskih zahtjeva za sintezu sveobuhvatnog indikatora efikasnosti suzbijanja zlonamjernog softvera u kritičnim segmentima informacione sfere;

Razvoj algoritma za sintezu takvog indikatora;

Izgradnja optimalne strukture privatnih indikatora efikasnosti korištenih anti-malware tehnologija;

Razvoj seta analitičkih i simulacionih modela koji daju procenu indikatora efikasnosti korišćenih anti-malware tehnologija;

Eksperimentalno testiranje algoritama za sveobuhvatnu procjenu efikasnosti suzbijanja zlonamjernog softvera u kritičnim segmentima informacione sfere.

Metode istraživanja. U radu se koriste metode analize sistema, teorije sigurnosti informacija, teorije skupova, teorije grafova, matematičkog modeliranja, teorije vjerovatnoće i matematičke statistike, te teorije slučajnih procesa.

Valjanost i pouzdanost dobijenih rezultata osiguravaju:

Upotreba dokazanih matematičkih alata u procesu formalizacije procesa suzbijanja zlonamjernog softvera;

Eksperimentalna verifikacija razvijenih matematičkih modela i korespondencije dobijenih rezultata sa slučajevima poznatim iz naučne literature.

Naučna novina i teorijski značaj rezultata dobijenih u disertaciji su:

1. Razvijeni su algoritmi za sveobuhvatnu procjenu efikasnosti suzbijanja zlonamjernog softvera u kritičnim segmentima informacione sfere, koji se razlikuje od poznatih metoda za rješavanje sličnih problema po tome što se integracija pojedinih indikatora vrši na osnovu uzimanja u obzir njihovog utjecaja. na ciljnoj funkciji - stepen sprečavanja oštećenja informacione sfere od narušavanja njene bezbednosti.

2. Predlaže se metodološki pristup kombinovanju simulacionog i analitičkog modeliranja za procjenu pojedinih indikatora anti-malware tehnologija, koji, za razliku od analoga, omogućava kontrolu nivoa detalja procesa koji se proučavaju.

3. Predložena su nova rješenja za izgradnju matematičkih modela za suzbijanje zlonamjernog softvera, zasnovana na korišćenju sličnosti pojedinih indikatora tehnologija koje se koriste za suprotstavljanje klasičnom predstavljanju slučajnih varijabli.

Praktična vrijednost istraživanja leži u razvoju efikasnog sistema za podršku odlučivanju za procjenu tehnologija koje se koriste za suzbijanje zlonamjernog softvera u kritičnim segmentima informacione sfere, koji obavlja sljedeće funkcije:

Analiza i generalizacija pojedinih indikatora suzbijanja zlonamjernog softvera za različite praktične opcije korištenih tehnologija za suzbijanje;

Konstrukcija šema analize za anti-malware tehnologije koje su pogodne za praktično razumijevanje;

Poređenje indikatora efikasnosti različitih anti-malware tehnologija.

Rezultati teorijskih i eksperimentalnih istraživanja mogu se koristiti za rješavanje sljedećih naučnih i primijenjenih problema:

Opravdanje novih pristupa organizovanju borbe protiv malvera u kritičnim segmentima informacione sfere;

Analiza postojećih tehnologija za suzbijanje malvera tokom njihove upotrebe.

Dobijeni rezultati mogu se koristiti u predavanjima i edukativnim materijalima na visokoškolskim ustanovama pri izučavanju osnova informacione bezbednosti, kao iu prekvalifikaciji kadrova odgovornih za bezbednost kritičnih segmenata informacione sfere.

Na odbranu se dostavljaju sljedeće glavne odredbe rada disertacije:

1. Izjava i rezultati rješavanja problema sinteze sveobuhvatnog indikatora efikasnosti suzbijanja zlonamjernog softvera u kritičnim segmentima informacione sfere zasnovanog na izgradnji optimalne strukture privatnih indikatora i njene primjene za procjenu efikasnosti tehnologija koje se koriste za suzbijanje zlonamjernog softvera .

2. Metodološki pristup kombinovanju simulacije i analitičkog modeliranja za procjenu specifičnih indikatora anti-malware tehnologija.

Implementacija rezultata rada. Rezultati rada na disertaciji implementirani su u:

Vojni institut za radioelektroniku Ministarstva odbrane Ruske Federacije;

Voronješki institut Ministarstva unutrašnjih poslova Ruske Federacije;

Glavno odeljenje unutrašnjih poslova Voronješke oblasti;

Odeljenje unutrašnjih poslova Tambovske oblasti.

Realizacija rezultata potvrđena je relevantnim aktima.

Apromacija rada. Glavni metodološki i praktični rezultati istraživanja predstavljeni su na sljedećim konferencijama:

Glavni metodološki i praktični rezultati istraživanja predstavljeni su na sljedećim konferencijama:

1. Sveruska naučno-praktična konferencija “Savremeni problemi borbe protiv kriminala” - Voronjež, 2002. /48/.

2. Međuregionalna naučno-praktična konferencija “Informacije i bezbednost” - Voronjež, 2002. /56/.

3. IV Sveruska naučno-praktična konferencija „Bezbednost, bezbednost i komunikacije” - Voronjež, 2003. /49/.

4. Sveruska naučno-praktična konferencija “Savremeni problemi borbe protiv kriminala” - Voronjež, 2005. /57/.

U radovima objavljenim u koautorstvu, podnosilac prijave je lično predložio: u /28/ - klasifikovati kompjuterske viruse uzimajući u obzir njihovu složenu manifestaciju svojstava asocijativnosti, replikativnosti i izomorfizma; u /29/ - ilustracija upotrebe od strane napadača različitih svojstava kompjuterskih virusa u implementaciji faza opšte strategije za neovlašćeni pristup informacijama u računarskim sistemima; u /30/ smatraju njihovu aktivnost i preživljavanje kao glavne klasifikacione karakteristike svojstava zlonamernih programa; u /35/ - sistematizacija okolnosti koje određuju potrebu čuvanja tajne postupanja organa za provođenje zakona; u /48/ - identifikuju nezakonite radnje u oblasti kompjuterskih informacija korišćenjem dvostepenog sistema, od kojih prvi nivo obezbjeđuje identifikaciju činjenice nezakonite radnje, a drugi - tragove takvih uticaja; u /49/ - identifikovati činjenice nezakonitog uticaja na informacije u računarskim mrežama koristeći semantičku kontrolu informacionih parametara računarskih procesa; u /50/ - kao osnovni princip za identifikaciju kompjuterskog kriminala, princip hijerarhijskog opisa strategija za neovlašćeni pristup informacijama u računarskim sistemima; u /53/ - koristiti distribuirane tehnologije zaštite informacija kao izvor forenzički značajnih informacija u istrazi kompjuterskih zločina; u /54/ - smatrati prisustvo punog seta identifikacionih znakova ove vrste nezakonitih radnji kao dominantnog faktora u povećanju stepena otkrivanja kompjuterskog kriminala; u /56/ - razmotriti metodologiju za procjenu sigurnosti informaciono-telekomunikacionih sistema od prijetnji njihovoj informacionoj sigurnosti kao proceduru formiranja hijerarhijske strukture indikatora, razmotriti kao primjer funkcionalnog informacionog modela aktivnosti režima specijalnih snaga. usluga u pružanju službene dokumentacije zaposlenima; u /57/ - formirati sveobuhvatan indikator za procjenu efikasnosti suzbijanja malvera na osnovu hijerarhijskog strukturiranja privatnih indikatora; u /67/ - koristiti funkcionalni opis informacionih procesa kao neophodnu fazu njihove formalizacije.

Struktura i obim posla. Disertacija je predstavljena na 164 stranice i sastoji se od uvoda, četiri poglavlja, zaključka, bibliografije korišćene literature i dodatka, sadrži 51 sliku i 19 tabela.

Slične disertacije na specijalnosti "Metode i sistemi informacione bezbednosti, informaciona bezbednost", 05.13.19 šifra VAK

• Matematički model suprotstavljanja neovlaštenom pristupu informacionim i telekomunikacionim sistemima korišćenjem različitih vrsta sredstava informacione bezbednosti uz minimiziranje ometanja računarskih resursa 2002, kandidat tehničkih nauka Kochedykov, Sergej Sergejevič

• Modeliranje i optimizacija informacionih procesa u teritorijalnim segmentima jedinstvenog informaciono-telekomunikacionog sistema organa unutrašnjih poslova u kontekstu suprotstavljanja pretnjama informacionoj bezbednosti 2006, kandidat tehničkih nauka Chagina, Ljudmila Vladimirovna

• Modeliranje zlonamjernih uticaja na zaštićene informacione sisteme u cilju identifikacije nezakonitih radnji u oblasti računarskih informacija 2005, Kandidat tehničkih nauka Tjunjakin, Roman Nikolajevič

• Prepoznavanje zlonamjernog softvera zasnovano na skrivenim Markovljevim modelima 2012, Kandidat tehničkih nauka Kozačok, Aleksandar Vasiljevič

• Matematički modeli za procjenu efikasnosti privatnih sigurnosnih jedinica u pružanju usluga u oblasti tehničke zaštite informacija 2005, kandidat tehničkih nauka Fedorov, Ivan Semenovič

Zaključak disertacije na temu „Metode i sistemi informacione bezbednosti, informaciona bezbednost“, Suškov, Pavel Feliksovič

4.4. zaključci

1. Preporučljivo je proceniti efikasnost suzbijanja malvera u kritičnim segmentima informacione sfere na osnovu analize različitih opcija za korišćenje protivmera u skladu sa planom računarskih eksperimenata.

2. Upotreba metoda razvijenih u disertaciji za procjenu efikasnosti suzbijanja zlonamjernog softvera u kritičnim segmentima informacione sfere omogućava nam da smanjimo raspon matematičkih modela koji se koriste za 50%.

3. Karakteristike tačnosti hijerarhijske strukture indikatora predloženih u disertaciji, zbog upotrebe skale vjerovatnoće, su najmanje dva reda veličine veće od karakteristika tačnosti poznatih integrisanih struktura indikatora.

4. Metoda razvijena u disertaciji za procenu efikasnosti suprotstavljanja malveru u kritičnim segmentima informacione sfere može se smatrati univerzalnom metodom za procenu bezbednosti informacionih objekata.

Nivo 5

Svrha zaštite informacija je spriječiti štetu od narušavanja sigurnosti informacija

Nivo 4

Nivo 3

Nivo 2

Mogućnosti za sprečavanje kršenja povjerljivosti (curenja) informacija

Mogućnosti za sprečavanje narušavanja integriteta infoormacina

Mogućnosti zaštite informacija od curenja zbog bočnog elektromagnetnog zračenja i smetnji

Mogućnosti za sprečavanje narušavanja pristupa (blokiranja) informacija

Mogućnosti zaštite informacija od neovlaštenog pristupa

Mogućnosti zaštite govornih informacija (od curenja kroz akustični kanal)

Mogućnosti za sprečavanje uslova pogodnih za nastanak pretnji

Mogućnosti za sprečavanje pojave NSD prijetnji 1

Mogućnosti za sprječavanje pojave prijetnji od curenja informacija kroz fizička polja

Mogućnosti za otkrivene izvore prijetnji

Woam< южк» ста по закрытию доступа в обход системы защиты и и форма-цкн

Mogućnosti za neutralne i negativne prijetnje NSD X X

Mogućnosti za neutralizaciju prijetnji od curenja informacija kroz fizička polja X

Mogućnosti otkrivanja i uticaja NSD prijetnji

Mogućnosti za otkrivanje uticaja pretnji od curenja informacija kroz PEMIN kanale

Mogućnosti detekcije i uticaja pretnji od curenja informacija preko akustičnog kanala X

Mogućnosti za oporavak informacija nakon izlaganja NSD prijetnjama

BOiMG&HdCTtt o oporavku informacija nakon izlaganja prijetnjama od curenja informacija kroz ghemim kanale

Mogućnosti vraćene!! yu informacije nakon izlaganja prijetnjama curenja informacija u akustični kanal

Možda*

Nivo 1

Possibly Possibly

Smjernice za ograničavanje pristupa pristupu izvorima informacija

ITKS ITKS

Mogućnosti sakrivanja zračenja i smetnji iz informativnih kanala (fizičkih polja)

Možda

STA o dezinformacijama (imitacija radijacije i smetnji)

Mogućnosti kriptografske transformacije informacija

Možda

Smjernice za praćenje elemenata (stanja elemenata) TSOI i ITKS

Moguće je registrovati informacije o funkcionisanju TSIOI sa stanovišta RF

Mogućnosti za pravovremeno uništavanje potrošenih i neiskorištenih informacija

Mogućnosti za signaliziranje manifestacija i prijetnji nezakonitim radnjama

Mogućnosti signalizacije ispoljavanja pretnji od curenja informacija kroz PEMIN kanale

Mogućnosti signaliziranja manifestacije prijetnji od curenja informacija kroz akustične kanale za odgovor na manifestacije prijetnji (defusing prijetnji)

Mogućnosti za anglizaciju manifestacija i prijetnji NSD-a

Moguće je odgovoriti na ispoljavanje prijetnji (neutralizirati prijetnje) putem akustičnih kanala

Rice. 4.3.2. Struktura indikatora heterogenih tehničkih sistema i sredstava informacione bezbednosti informacionih i telekomunikacionih sistema

ZAKLJUČAK

Glavni naučni rezultati dobijeni u radu disertacije su:

1. Metoda generalizovane procene efikasnosti sistema za suzbijanje malvera u kritičnim segmentima informacione sfere je teorijski opravdana i praktično implementirana na osnovu strukturiranja pojedinih indikatora protivmera.

2. Razvijen je metod za optimizaciju strukture privatnih indikatora za suzbijanje zlonamjernog softvera. U skladu s tim, predlaže se:

Predstaviti skup indikatora protivmjera u obliku hijerarhijske strukture sa dosljednom generalizacijom svojstava protumjera;

Nivoi hijerarhijske strukture predstavljeni su u obliku skupova indikatora koji odgovaraju glavnim klasama sposobnosti protivmjera za osiguranje sigurnosti računarskih mreža koje čine materijalnu osnovu informacione sfere;

Kao alat za proučavanje efikasnosti suprotstavljanja malveru, koristite simulacione i analitičke modele koji opisuju procese funkcionisanja kontramera.

3. Razvijena je metodologija za procjenu različitih opcija za opremanje računarskih mreža antivirusnim alatima, zasnovana na principima teorije računskih eksperimenata korištenjem matematičkih modela razvijenih u disertaciji.

U disertaciji su dobijeni sljedeći novi praktični rezultati:

1. Istraživanje provedeno korištenjem razvijenih matematičkih modela za suzbijanje zlonamjernog softvera u kritičnim segmentima informatičke sfere daje osnov za tvrdnju da:

Korištenje metoda razvijenih u disertaciji za procjenu protudjelovanja zlonamjernom softveru u kritičnim segmentima informacione sfere omogućava smanjenje raspona matematičkih modela koji se koriste za 50%.

Karakteristike tačnosti hijerarhijske strukture indikatora predloženih u disertaciji, zbog upotrebe skale verovatnoće, su najmanje dva reda veličine veće od karakteristika tačnosti poznatih integrisanih struktura indikatora.

Praktični značaj ovih rezultata je u tome što omogućavaju kvantifikaciju izvodljivosti sprovođenja mjera za borbu protiv zlonamjernog softvera u kritičnim segmentima informacione sfere.

2. Razvijene metode, modeli i algoritmi zajedno predstavljaju metodološku podršku za rešavanje praktičnog problema procene efikasnosti suzbijanja malvera u kritičnim segmentima informacione sfere. Može se koristiti za rješavanje sličnih problema prilikom procjene sigurnosti informacijskih objekata od sličnih prijetnji njihovoj informacionoj sigurnosti.

Spisak referenci za istraživanje disertacije Kandidat tehničkih nauka Suškov, Pavel Feliksovič, 2005.

1. Telekomunikacije. Svet i Rusija. Stanje i trendovi razvoja / Kleščov N.T., Fedulov A.A., Simonov V.M., Borisov Yu.A., Osenmuk M.P., Selivanov S.A. M.: Radio i komunikacija, 1999. - 480 str.

2. Homyakov N.N., Khomyakov D.N. Analiza sigurnosti nuklearnih elektrana tokom terorističkih napada. // Sigurnosni sistemi. 2002. - br. 2(44). - str. 74-76.

3. Moshkov G.Yu. Osiguranje sigurnosti transportnih objekata je naš prioritet. // Sigurnosni sistemi. - 2003. - br. 6(48). - str. 8-9.

4. Agapov A.N. Nuklearna i radijaciona sigurnost. Pripremljenost za hitne slučajeve. // Sigurnosni sistemi. 2003. - br. 2(50). - str. 8-10.

5. Doktrina informacione sigurnosti Ruske Federacije // Rossiyskaya Gazeta od 28.09.2000.

6. Gerasimenko V.A. Zaštita informacija u sistemima automatizovane obrade podataka: U 2 knjige: Knj. 1. M.: Energoatomizdat, 1994. - 400 str.

7. Gerasimenko V.A. Zaštita informacija u sistemima automatizovane obrade podataka: U 2 knjige: Knj. 2. M.: Energoatomizdat, 1994. - 176

8. Gerasimenko V.A., Malyuk A.A. Osnove informacione bezbednosti: Udžbenik za visokoškolske ustanove Ministarstva opšteg i stručnog obrazovanja Ruske Federacije M.: MEPhI, 1997. - 538 str.

9. Osnovi informacione bezbednosti: Udžbenik za visokoškolske ustanove Ministarstva unutrašnjih poslova Rusije / Ed. Minaeva, V.A. i Skryl S.V. - Voronjež: Voronješki institut Ministarstva unutrašnjih poslova Rusije, 2001. - 464 str.

10. Shcherbakov A.A. Destruktivni uticaji softvera. M.: Izdavačka kuća "Edel", 1993. 64 str.

11. Mukhin V.I. Informaciono i softversko oružje. Destruktivni uticaji softvera. // Znanstveni i metodološki materijali. M.: Vojna akademija strateških raketnih snaga po Petru Velikom, 1998.-44 str.

12. Skryl S.V. Klasifikacija softvera za krađu i iskrivljavanje informacija u automatizovanim informacionim sistemima // Visoke tehnologije u tehnologiji, medicini i obrazovanju: Međuuniverzitetski zbornik. naučnim tr., dio 2. Voronjež: VSTU, 1997. - P. 131-137.

13. Računarske mreže. Principi, tehnologije, protokoli: Udžbenik za univerzitete. / V.G. Olifer, N.A. Olifer SPb.: Peter, 2003. - 864 str.

14. Syrkov B.Yu. Računalni sustav očima hakera // Tehnologije i komunikacije. -1998. br. 6. str. 98-100

15. Bezrukov N.N. Uvod u kompjutersku virusologiju. Opći principi rada, klasifikacija i katalog najčešćih virusa u MS-DOS-u. Kijev, 1989. - 196 str.

16. Bezrukov N.N. Kompjuterska virusologija: Referentni vodič. -Kijev, 1991.

17. Bezrukov N.N. Kompjuterski virusi. - M., 1991. - 132 str.

18. Kaspersky E.V. Računalni virusi u MS-DOS-u. M.: Izdavačka kuća Edel, 1992. - 120 str.

19. Kaspersky E.V. Kompjuterski virusi, šta su i kako se boriti protiv njih. M.: "SK Press", 1998. - 288 str.

20. Fights F., Johnston P., Kratz M. Kompjuterski virus: problemi i prognoza. -M.: Mir, 1993. 175 str.

21. Guliev N.A. Kompjuterski virusi, pogled iznutra. M.: DMK, 1998.-304 str.

22. Tehnologije za razvoj zlonamjernog softvera na bazi kompjuterskih virusa // E.G. Gennadieva, K.A. Razinkin, Yu.M. Safonov, P.F. Sushkov, R.N. Tyunyakin // Informacije i sigurnost. Izdanje 1. - Voronjež: VSTU, 2002. - str. 79-85.

23. Virološka tipizacija zlonamjernih programa // JI.B. Chagina, K.S. Skryl, P.F. Suškov // Nauka o proizvodnji, 2005. - Broj 6. - str. 12-17.

24. Minaev V.A., Skryl S.V. Kompjuterski virusi kao sistemsko zlo. // Sigurnosni sistemi SB-2002: Materijali XI naučno-tehničke konferencije Međunarodnog foruma informatizacije - M.: GPS akademija, 2002. - S. 18-24.

25. Sistemi i mreže za prenos podataka: Udžbenik. / M.V. Garanin, V.I. Žuravljev, S.V. Kunegin M.: Radio i komunikacija, 2001. - 336 str.

26. Telekomunikacioni sistemi i mreže: Udžbenik u 3 toma. Tom 1 Moderne tehnologije / B.I. Kruk, V.N. Popantonopoulo, V.P. Šuvalov - M.: Hotline - Telekom, 2003. - 647 str.

27. Zaštita informacija u računarskim sistemima i mrežama. / Romanets Yu.V., Timofeev P.A., Shangin V.F. M.: Radio i komunikacija, 2001. - 376 str.

28. Organizacioni i pravni aspekti ograničavanja pristupa informacijama u aktivnostima organa unutrašnjih poslova / Asyaev P.I., Pozhilykh V.A., Sushkov P.F., Belousova I.A., Potanina I.V., Razinkin K.A. // Informacije i sigurnost. - Broj 1. Voronjež: VSTU, 2002. - P. 43-47.

29. Kaspersky K. Tehnike mrežnog napada. Tehnike suprotstavljanja. M.: Solon-R, 2001.-397 str.

30. Serdyuk V.A. Obećavajuće tehnologije za otkrivanje informacionih napada. // Sigurnosni sistemi. 2002. - br. 5(47). - str. 96-97.

31. Programiranje algoritama sigurnosti informacija: Udžbenik. / Domashev A.V. Gruntovich M.M., Popov V.O., Pravikov D.I., Prokofjev I.V., Shcherbakov A.Yu. M.: Znanje, 2002. - 416 str.

32. Grušo A.A., Timonina E.E. Osnove informacione sigurnosti. M.: Yachtsman, 1996.-192 str.

33. Sigurnost informacionih i telekomunikacionih sistema odjeljenja. / Getmantsev A.A., Lipatnikov V.A., Plotnikov A.M., Sapaev E.G. VAS, 1997. 200 str.

34. Skryl S.V. Modeliranje i optimizacija funkcionisanja automatizovanih sistema upravljanja organa unutrašnjih poslova u kontekstu suprotstavljanja malveru: Sažetak disertacije dr. tech. nauka M.: Akademija državne vatrogasne službe Ministarstva unutrašnjih poslova Rusije, 2000. - 48 str.

35. Joel T. Patz Antivirusni programi / PC Magazin / Rusko izdanje, 1996, br. 3 (46), str. 70-85

36. Inteligentne tehnologije Doctor Web antivirusa. / JSC "Dialognauka". // Sigurnosni sistemi. 2002. - br. 2(44). - str. 84-85.

37. Antimonov S.G. Intelektualne konfrontacije na prvoj liniji Virus-antivirus. // Informacije i sigurnost: Materijali međuregionalnog naučnog i praktičnog rada. konf. Informacije i sigurnost. - Broj 2. - Voronjež: VSTU, 2002. - P. 39-46.

38. Vorobyov V.F., Gerasimenko V.G., Potanin V.E., Skryl S.V. Dizajn sredstava za tragološku identifikaciju kompjuterskih zločina. Voronjež: Voronješki institut Ministarstva unutrašnjih poslova Rusije, 1999. - 136 str.

39. Tragovi kompjuterskih zločina / Voynalovich V.Yu., Zavgorod-niy M.G., Skryl S.V., Sumin V.I. // Apstrakti izveštaja međunarodne konferencije „Informatizacija sistema za sprovođenje zakona”, Deo 2. M.: Akademija upravljanja Ministarstva unutrašnjih poslova Rusije, 1997. str. 53-55.

40. Metodologija provođenja primarnih istražnih radnji pri istraživanju krivičnih djela iz oblasti visoke tehnologije. / Sushkov P.F., Kochedykov S.S., Kiselev V.V., Artemov A.A. Bilten VI Ministarstva unutrašnjih poslova Rusije 2(9)" 2001 - Voronjež: VI Ministarstvo unutrašnjih poslova Rusije 2001. - P. 152-155.

41. Povećanje stope otkrivanja kompjuterskih zločina // Bogachev S.Yu., A.N. Obukhov, P.F. Sushkov // Informacije i sigurnost. Vol. 2. - Voronjež: VSTU, 2004. - S. 114 - 115.

42. Kompjutersko-tehničko ispitivanje nezakonitih radnji. // Sushkov P.F. // Bilten Voronješkog instituta Ministarstva unutrašnjih poslova Rusije. T. 4(19). -2004.-№4(19) - P. 52-55.

43. Mamikonov A.G., Kulba V.V., Shchelkov A.B. Pouzdanost, zaštita i backup informacija u automatizovanim sistemima upravljanja. M.: Energoatomizdat, 1986. - 304 str.

44. Sokolov A.V., Shangin V.F. Zaštita informacija u distribuiranim korporativnim sistemima. M.: DMK Press, 2002. - 656 str.

45. Khasin E.V. Integrisani pristup praćenju informacionih i računarskih sistema. // Naučna sesija MEPhI 2002: Materijali IX sveruske naučno-praktične konferencije. konf. - M.: MIPhI, 2002. - P. 110-111.

46. ​​Buslenko N.P. Modeliranje složenih sistema / N.P. Buslenko. - M.: Nauka, 1978.-400 str.

47. Sovetov B.Ya. Modeliranje sistema: Udžbenik za univerzitete na specijalizaciji. “Automatski sistemi upravljanja” / B.Ya. Sovetov, S.A. Yakovlev. - M.: Viša škola, 1985. - 271 str.

48. Iglehart D.L. Regenerativno modeliranje mreža čekanja: Per. sa engleskog / D.L. Iglehart, D.S. Shedler. M.: Radio i komunikacija, 1984. - 136 str.

49. Buslenko V.N. Automatizacija simulacionog modeliranja složenih sistema / V.N. Buslenko. - M.: Nauka, 1977. - 239 str.

50. Tarakanov K.V. Analitičke metode za proučavanje sistema / K.V. Tarakanov, L.A. Ovcharov, A.N. Tyryshkin. - M.: Sovjetski radio, 1974. 240 str.

51. Vilkas E.J., Mayminas E.Z. Rješenja: teorija, informacije, modeliranje. M.: Radio i komunikacija, 1981. - 328 str. str. 91-96.

52. Principi strukturiranog modeliranja sigurnosnih procesa za informacione sisteme posebne namjene. / P.I. Asyaev, V.N. Aseev, A.R. Mozhaitov, V.B. Ščerbakov, P.F. Suškov // Radiotehnika (časopis u časopisu), 2002, br. 11.

53. Tatg U. Teorija grafova: Transl. sa engleskog M.: Mir, 1988. - 424 str.

54. Ventzel E.S. Teorija vjerovatnoće. M.: Izdavačka kuća fizičke i matematičke literature, 1958. - 464 str.

55. Zbirka naučnih programa u Fortranu. Vol. 1. Statistika. New York, 1970. / Trans. sa engleskog M.: “Statistika”, 1974. - 316 str.

56. Zaryaev A.V. Obuka stručnjaka za sigurnost informacija: modeli upravljanja: Monografija M.: “Radio i komunikacije”, 2003. - 210 str.

57. Kini P.JI., Raiffa X. Donošenje odluka prema više kriterijuma preferencije i zamene. M.: Radio i komunikacija, 1981. - 560 str.

58. Laričev O.I. Nauka i umjetnost donošenja odluka. M.: Nauka, 1979.-200 str.

59. Yakovlev S.A. Problemi planiranja simulacionih eksperimenata u projektovanju informacionih sistema. // Automatizirani sustavi za obradu i upravljanje podacima. L.: 1986. - 254 str.

60. Inteligentne tehnologije Doctor Web antivirusa. / JSC "Dialognauka". // Sigurnosni sistemi. 2002. - br. 2(44). - str. 84-85.

61. Enciklopedija kompjuterskih virusa. / DA. Kozlov, A.A. Parandovsky, A.K. Parandovsky M.: “Solon-R”, 2001. - 457 str.

62. Joel T. Patz Antivirusni programi / PC Magazin / Rusko izdanje, 1996, br. 3 (46), str. 70-85.

63. Sistem sertifikacije alata za informatičku bezbednost prema zahtevima bezbednosti informacija br. ROSS RU.OOI.OIBHOO. Državni registar certificiranih alata za sigurnost informacija. Službena web stranica Državne tehničke komisije Rusije, 2004.

64. Skryl S.V. Modeliranje i optimizacija funkcionisanja automatizovanih sistema upravljanja organa unutrašnjih poslova u kontekstu suprotstavljanja malveru: Sažetak disertacije dr. tech. nauka M.: Akademija državne vatrogasne službe Ministarstva unutrašnjih poslova Rusije, 2000. - 48 str.

65. Procjena sigurnosti informacija u informacionim i telekomunikacionim sistemima. / Minaev V.A., Skryl S.V., Potanin V.E., Dmitriev Yu.V. // Ekonomija i proizvodnja. 2001. - br. 4. - str. 27-29.

66. Ventzel E.S. Istraživanja operacija M.: Sovjetski radio, 1972 - 552 str.

67. Zadeh J1.A. Koncept lingvističke varijable i njegova primjena na aproksimativno odlučivanje. M.: Mir, 1976. - 168 str.

68. Pospelov D.A. Logičko-lingvistički modeli u sistemima upravljanja. M.: Energija, 1981.-231 str.

69. Pospelov D.A. Situacijski menadžment: teorija i praksa. -M.: Nauka, 1986.-284 str.

70. Raifa G. Analiza odluke (uvod u problem izbora u uslovima neizvjesnosti). M.: Nauka, 1977. - 408 str.

71. Modeli odlučivanja na osnovu lingvističkih varijabli / A.N. Borisov, A.V. Aleksev, O.A. Krumberg i dr. Riga: Zinatne, 1982. - 256 str.

72. Kofman A. Uvod u teoriju rasplinutih skupova. M.: Radio i komunikacija, 1982. - 432 str.

73. Fazni skupovi u modelima kontrole i umjetne inteligencije. / Ed. DA. Pospelov. M.: Nauka, 1986. - 312 str.

74. Akti implementacije rezultata istraživanja

75. Zamenik načelnika odeljenja „K” CJB, potpukovnik policije1. Članovi komisije: čl. detektiv odeljenja „K” CJB, kapetan policije, detektiv odeljenja „K” CJB, policijski poručnik1. Sokolovsky I.V.1. Povalukhin A. A.1. Razdymalin R.S.41. ODOBRIO sam

76. Zam Načelnik Odjela unutrašnjih poslova Tambovske oblasti, potpukovnik policije1. Članovi komisije:1. B.J.I. Vorotnikov

77. Načelnik odjeljenja “K” USTM Odjela unutrašnjih poslova Tambovske oblasti, major policije

78. Viši detektiv za Odeljenje unutrašnjih poslova USTM Odeljenja unutrašnjih poslova Tambovske oblasti, major policije1. R.V. Belevitin1. A.V. Bogdanov

Napominjemo da su gore navedeni naučni tekstovi objavljeni samo u informativne svrhe i da su dobijeni putem prepoznavanja originalnog teksta disertacije (OCR). Stoga mogu sadržavati greške povezane s nesavršenim algoritmima za prepoznavanje. Nema takvih grešaka u PDF datotekama disertacija i sažetaka koje dostavljamo.