A prevence – zamezení napadení (úpravy) souborů nebo operačního systému škodlivým softwarem.

Metody ochrany proti virům[ | ]

K ochraně před viry se používají tři skupiny metod:

1. Metody založené na analýza obsahu souboru(jak datové soubory, tak soubory s příkazy). Tato skupina zahrnuje skenování virových signatur, stejně jako kontrolu integrity a skenování podezřelých příkazů.
2. Metody založené na sledování chování programu při jejich provádění. Tyto metody spočívají v protokolování všech událostí, které ohrožují bezpečnost systému a vyskytují se buď při samotném provádění testovacího objektu, nebo při jeho softwarové emulaci.
3. Metody regulace pracovních postupů se soubory a programy. Tyto metody jsou administrativními bezpečnostními opatřeními.

Metoda skenování podpisů(analýza podpisu, metoda podpisu) je založena na vyhledávání souborů pro jedinečnou sekvenci bajtů - podpisy, charakteristické pro konkrétní virus. U každého nově objeveného viru provedou specialisté antivirové laboratoře analýzu, na základě které se určí jeho signatura. Výsledný fragment viru je umístěn do speciální databáze virových signatur, se kterou antivirový program pracuje. Výhodou této metody je relativně nízký podíl falešných poplachů a hlavní nevýhodou je zásadní nemožnost detekce nového viru v systému, pro který není v databázi antivirového programu signatura, takže je včasná aktualizace databáze signatur Požadované.

Metoda kontroly integrity vychází ze skutečnosti, že jakákoli neočekávaná a bezdůvodná změna dat na disku je podezřelou událostí, která vyžaduje zvláštní pozornost antivirového systému. Virus nutně zanechává důkazy o své přítomnosti (změny v datech existujících (zejména systémových nebo spustitelných) souborů, výskyt nových spustitelných souborů atd.). Skutečnost změny údajů - porušení integrity- lze snadno zjistit porovnáním kontrolního součtu (výběru), předem vypočítaného pro počáteční stav testovaného objektu, a kontrolního součtu (výběru) aktuálního stavu testovacího případu. Pokud se neshodují, znamená to, že byla narušena integrita a je důvod provést další kontrolu, například skenováním virových signatur. Tato metoda funguje rychleji než metoda skenování signatur, protože výpočet kontrolních součtů vyžaduje méně výpočtů než operace porovnávání virových fragmentů bajt po bajtu, navíc vám umožňuje detekovat stopy aktivity jakýchkoli virů, včetně neznámých, virů. které v databázi zatím nejsou žádné podpisy.

Metoda pro skenování podezřelých příkazů(heuristické skenování, heuristická metoda) je založena na identifikaci v naskenovaném souboru určitého počtu podezřelých příkazů a (nebo) známek podezřelých sekvencí (například příkaz k formátování pevného disku nebo funkce vložení do běžícího nebo spustitelného souboru proces). Poté je učiněn předpoklad o škodlivé povaze souboru a jsou podniknuty další kroky k jeho kontrole. Tato metoda je rychlá, ale poměrně často není schopna detekovat nové viry.

Metoda sledování chování programu se zásadně liší od dříve zmíněných metod kontroly obsahu souborů. Tato metoda je založena na analýze chování spuštěných programů, srovnatelné s dopadením zločince „za ruku“ na místě činu. Antivirové nástroje tohoto typu často vyžadují aktivní účast uživatele, který je vyzván k rozhodování v reakci na četná systémová varování, z nichž mnohá se mohou později ukázat jako falešné poplachy. Četnost falešných poplachů (podezření na virus pro neškodný soubor nebo chybějící škodlivý soubor) nad určitou prahovou hodnotu činí tuto metodu neúčinnou a uživatel může přestat reagovat na varování nebo zvolit optimistickou strategii (povolit všechny akce všem spuštěným programům resp. zakázat tuto antivirovou funkci). Při použití antivirových systémů, které analyzují chování programů, vždy existuje riziko spuštění virových příkazů, které mohou poškodit chráněný počítač nebo síť. K odstranění tohoto nedostatku byla později vyvinuta emulační (simulační) metoda, která umožňuje provozovat testovaný program v uměle vytvořeném (virtuálním) prostředí, kterému se často říká sandbox, bez rizika poškození informačního prostředí. Použití metod pro analýzu chování programů prokázalo jejich vysokou účinnost při detekci známého i neznámého malwaru.

Falešné antiviry [ | ]

V roce 2009 začalo aktivní šíření falešných antivirů [ ] – software, který není antivirový (to znamená, že nemá skutečné funkce pro boj s malwarem), ale předstírá, že je. Ve skutečnosti mohou být falešné antiviry buď programy, které klamou uživatele a vydělávají ve formě plateb za „léčení systému virů“, nebo obyčejný škodlivý software.

Speciální antiviry[ | ]

V listopadu 2014 vydala mezinárodní organizace pro lidská práva Amnesty International Detect, antivirový program určený k detekci malwaru distribuovaného vládními agenturami za účelem špehování občanských aktivistů a politických oponentů. Antivirus podle tvůrců provádí hlubší sken pevného disku než klasické antiviry.

Antivirová účinnost[ | ]

Analytická společnost Imperva v rámci Hacker Intelligence Initiative zveřejnila zajímavou studii, která ukazuje nízkou účinnost většiny antivirů v reálných podmínkách.

Antiviry podle výsledků různých syntetických testů vykazují průměrnou účinnost kolem 97 %, tyto testy se však provádějí na databázích stovek tisíc vzorků, z nichž drtivá většina (možná asi 97 %) se již nepoužívá. provádět útoky.

Otázkou je, jak účinné jsou antiviry proti nejaktuálnějším hrozbám. K zodpovězení této otázky Imperva a studenti z Tel Avivské univerzity získali 82 vzorků nejnovějšího malwaru z ruských podzemních fór a otestovali je proti VirusTotal, tedy proti 42 antivirovým enginům. Výsledek byl katastrofální.

1. Účinnost antivirů proti nově zkompilovanému malwaru byla nižší než 5 %. To je zcela logický výsledek, protože tvůrci virů je vždy testují proti databázi VirusTotal.
2. Od objevení viru, než jej začnou rozpoznávat antiviry, uplyne až čtyři týdny. Tohoto čísla dosahují „elitní“ antiviry, zatímco u ostatních antivirů může doba dosahovat až 9-12 měsíců. Například na začátku studie 9. února 2012 byl testován čerstvý vzorek falešného instalátoru Google Chrome. Po skončení studie 17. listopadu 2012 jej detekovalo pouze 23 ze 42 antivirů.
3. Antiviry s nejvyšším procentem detekce malwaru mají také vysoké procento falešných poplachů.
4. I když lze studii jen stěží nazvat objektivní, protože vzorek malwaru byl příliš malý, lze předpokládat, že antiviry jsou proti novým kybernetickým hrozbám zcela nevhodné.

Klasifikace antivirových programů[ | ]

Antivirové programy se podle provedení (blokovacích prostředků) dělí na:

• software;
• software a hardware.

Na základě umístění v paměti RAM se rozlišují následující:

• rezidentní (začínají svou práci při spuštění operačního systému, jsou neustále v paměti počítače a automaticky skenují soubory);
• nerezidentní (spouštěné na žádost uživatele nebo v souladu s harmonogramem pro ně určeným).

Podle typu (způsobu) ochrany proti virům se rozlišují:

V souladu s regulačním právním aktem FSTEC Ruska „Požadavky v oblasti technické regulace pro produkty používané k ochraně informací představujících státní tajemství nebo klasifikovaných jako jiné informace s omezeným přístupem chráněné v souladu s legislativou Ruské federace (požadavky na prostředky antivirové ochrany)“ (schváleno . nařízením FSTEC Ruska ze dne 20. března 2012 č. 28) se rozlišují následující typy antivirové ochrany:

• typ „A“ - nástroje antivirové ochrany (součásti nástrojů antivirové ochrany), určené pro centralizovanou správu nástrojů antivirové ochrany instalovaných na komponentách informačního systému (servery, automatizované pracovní stanice);
• typ „B“ - nástroje antivirové ochrany (součásti nástrojů antivirové ochrany) určené pro použití na serverech informačního systému;
• typ „B“ - nástroje antivirové ochrany (součásti nástrojů antivirové ochrany) určené pro použití na automatizovaných pracovních stanicích informačních systémů;
• typ „G“ - nástroje antivirové ochrany (součásti nástrojů antivirové ochrany) určené pro použití na autonomních automatizovaných pracovních stanicích.

Nástroje antivirové ochrany typu „A“ se nepoužívají v informačních systémech samostatně a jsou určeny pouze pro použití ve spojení s nástroji antivirové ochrany typu „B“ a (nebo) „C“.

Slovo „bot“ je zkratkou pro slovo „robot“. Bot je část kódu, která vykonává určitou funkcionalitu pro svého vlastníka, který je autorem tohoto kódu. roboti (bot) jsou typem malwaru, který je nainstalován na tisících počítačů. Zavolá se počítač, na kterém je bot nainstalován zombie(zombie). Bot přijímá příkazy od svého vlastníka a nutí infikovaný počítač, aby je provedl. Takovými příkazy mohou být rozesílání spamu, virů nebo provádění útoků. Útočník upřednostňuje provádění takových akcí pomocí robotů před vlastním počítačem, protože mu to umožňuje vyhnout se detekci a identifikaci.

Zavolá se sada zombie počítačů kompromitovaných útočníkem, na kterých jsou nainstalováni roboti botnet (botnet). Aby vytvořili botnet, hackeři se nabourají do tisíců systémů a odesílají škodlivý kód různými způsoby: jako přílohy e-mailových zpráv, prostřednictvím napadených webových stránek, zasíláním odkazů na škodlivé weby jako přílohy e-mailových zpráv atd. Pokud se škodlivý kód úspěšně nainstaluje do počítače uživatele, odešle útočníkovi zprávu, že systém byl hacknut a je nyní k dispozici útočníkovi, který jej může libovolně použít. Vytvořený botnet může například používat k provádění silných útoků nebo jej pronajímat spammerům. Navíc většina počítačů zahrnutých v botnetu jsou domácí počítače nic netušících uživatelů.

Vlastník tohoto botnetu ovládá systémy v něm obsažené na dálku, obvykle prostřednictvím protokolu IRC (Internet Relay Chat).

Základní kroky pro vytváření a používání botnetů jsou uvedeny níže:

1. Hacker používá různé metody, aby potenciálním obětem poslal škodlivý kód, který obsahuje software bota.
2. Po úspěšné instalaci do systému oběti naváže bot kontakt s řídicím serverem botnetu a kontaktuje jej prostřednictvím IRC nebo speciálního webového serveru v souladu s tím, co je uvedeno v jeho kódu. Poté řídicí server převezme kontrolu nad novým robotem.
3. Spammer zaplatí hackerovi za používání systémů jeho botnetu, hacker odešle příslušné příkazy řídicímu serveru a řídicí server zase nařídí všem infikovaným systémům zahrnutým v botnetu, aby rozeslaly spam.

Spammeři používají tuto metodu, protože výrazně zvyšuje pravděpodobnost, že se jejich zprávy dostanou k příjemcům a obcházejí jejich nainstalované spamové filtry, protože. takové zprávy nebudou odesílány z jedné adresy, která bude rychle zablokována nebo přidána na všechny „černé listiny“, ale z mnoha skutečných adres vlastníků napadených počítačů.

Pro vytvoření botnetu si jeho budoucí vlastník buď vše udělá sám, nebo zaplatí hackerům vývoj a distribuci malwaru k infikování systémů, které se stanou součástí jeho botnetu. A pak majitele botnetu kontaktují a zaplatí ti, kteří vám chtějí říct o svých nových produktech, i ti, kteří potřebují napadnout konkurenty, krást osobní údaje nebo uživatelská hesla a mnoho dalších.

Tradiční antivirový software používá signatury k detekci škodlivého kódu. Podpisy jsou otisky škodlivého kódu vytvořené výrobcem antivirového softwaru. Podpisem jsou fragmenty kódu extrahované ze samotného viru. Antivirový program kontroluje soubory, e-maily a další data, která procházejí určitými systémy, a porovnává je se svou databází virových signatur. Při detekci shody antivirový program provede předem nakonfigurovanou akci, kterou může být odeslání infikovaného souboru do karantény, pokus o „vyléčení“ souboru (odstranění viru), zobrazení varovného okna pro uživatele a/nebo záznam události v .

Detekce škodlivého kódu na základě podpisu je účinný způsob odhalování malwaru, ale v reakci na nové hrozby dochází k určitým zpožděním. Po prvním objevení viru musí výrobce antiviru prostudovat virus, vyvinout a otestovat nové signatury, vydat aktualizaci databáze signatur a aktualizaci si musí stáhnout všichni uživatelé. Pokud škodlivý kód pouze posílá vaše fotografie všem vašim přátelům, není toto zpoždění tak kritické. Pokud je však malware podobný červu Slammer, poškození z takového zpoždění by mohlo být katastrofální.

POZNÁMKA. Červ Slammer se objevil v roce 2003. Zneužil zranitelnost v Microsoft SQL Server 2000 DBMS, která mu umožnila způsobit odmítnutí služby. Podle některých odhadů Slammer způsobil škodu za více než 1 miliardu dolarů.

Vzhledem k tomu, že každý den vzniká nový malware, je pro výrobce antivirového softwaru obtížné držet krok. Technologie virové signatury umožňuje detekovat viry, které již byly identifikovány a pro které byla vytvořena signatura. Ale protože autoři virů jsou tak plodní a mnoho virů může změnit svůj kód, je důležité, aby antivirový software měl další mechanismy pro detekci škodlivého kódu.

Další metodou, kterou používají téměř všechny produkty antivirového softwaru, je detekce škodlivého kódu na základě heuristická analýza (heuristická detekce). Tato metoda analyzuje celkovou strukturu škodlivého kódu, vyhodnocuje instrukce a algoritmy prováděné kódem a studuje typy dat používaných škodlivým programem. Shromažďuje tedy velké množství informací o kusu kódu a vyhodnocuje pravděpodobnost, že má škodlivý charakter. Využívá jakési „počítadlo podezřelosti“, které se zvyšuje s tím, jak v něm antivirový program nachází nové potenciálně nebezpečné (podezřelé) vlastnosti. Po dosažení předem stanoveného prahu je kód považován za nebezpečný a antivirový program spustí příslušné obranné mechanismy. To umožňuje antivirovému softwaru rozpoznat neznámý malware, místo aby se spoléhal pouze na signatury.

Zvažte následující analogii. Ivan je policista, pracuje na dopadení padouchů a zavírání. Pokud se Ivan chystá použít podpisovou metodu, porovnává stohy fotografií každého člověka, kterého vidí na ulici. Když vidí zápas, rychle padoucha chytí a posadí ho do svého hlídkového vozu. Pokud se chystá použít heuristickou metodu, sleduje podezřelé aktivity. Když například před bankou uvidí stát muže v lyžařské masce, vyhodnotí pravděpodobnost, že jde o lupiče a ne jen chladného chlapíka, který žádá o drobné od zákazníků banky.

POZNÁMKA. Bezdiskové pracovní stanice jsou také zranitelné vůči virům, a to i přes chybějící pevný disk a plnohodnotný operační systém. Mohou být infikováni viry, které se stahují a žijí v paměti. Takové systémy lze vzdáleně restartovat (remote reboot), aby se vyčistila paměť a vrátila se do původního stavu, tzn. virus v takovém systému žije krátce.

Některé antivirové produkty vytvářejí umělé prostředí nazývané virtuální stroj nebo sandbox a umožňují spuštění části podezřelého kódu v chráněném prostředí. To dává antivirovému programu možnost vidět kód v akci, což poskytuje mnohem více informací pro rozhodnutí, zda je škodlivý nebo ne.

POZNÁMKA. Někdy se nazývá virtuální stroj nebo sandbox emulační pufr(emulační pufr). To je stejné jako chráněný paměťový segment, takže i když se kód ukáže jako škodlivý, systém zůstane stále bezpečný.

Zavolá se analýza informací o části kódu statická analýza , pokud spustíte část kódu na virtuálním počítači, nazývá se to dynamická analýza . Obě tyto metody jsou považovány za metody heuristické detekce.

Očkování. Další přístup, který některé antivirové programy používají, je tzv očkování(imunizace). Produkty s touto funkcí provedly změny v souborech a oblastech disku, aby vypadaly, jako by již byly infikovány. V tomto případě se virus může rozhodnout, že soubor (disk) je již infikován a neprovede žádné další změny a přesune se na další soubor.

Očkovací program je zpravidla zaměřen na konkrétní virus, protože každý z nich kontroluje skutečnost infekce jinak a hledá jiná data (podpisy) v souboru (na disku). Počet virů a dalšího škodlivého softwaru však neustále roste a s ním i počet souborů, které je potřeba chránit, takže tento přístup není v současnosti ve většině případů praktický a výrobci antivirů jej již nepoužívají.

V současné době ani se všemi těmito sofistikovanými a účinnými přístupy neexistuje absolutní záruka účinnosti antivirových nástrojů, protože autoři virů jsou velmi mazaní. Je to neustálá hra na kočku a myš, která probíhá každý den. Antivirový průmysl hledá nový způsob, jak detekovat malware, a příští týden najdou autoři virů způsob, jak tuto novou metodu obejít. To nutí výrobce antivirů neustále zvyšovat inteligenci svých produktů a uživatelé si musí každý rok kupovat jejich nové verze.

Další fází vývoje antivirového softwaru je tzv behaviorální blokátory (blokátor chování). Antivirový software, který provádí blokování chování, v podstatě umožňuje spuštění podezřelého kódu na nechráněném operačním systému a monitoruje jeho interakci s operačním systémem, přičemž věnuje pozornost podezřelé aktivitě. Antivirový software konkrétně monitoruje následující typy aktivit:

• Zápis do souborů, které se automaticky načítají při startu systému, nebo do spouštěcích sekcí v systémovém registru
• Otevírání, mazání nebo změna souborů
• Včetně skriptů v e-mailových zprávách pro odeslání spustitelného kódu
• Připojování k síťovým prostředkům nebo sdíleným složkám
• Změna logiky spustitelného kódu
• Vytváření nebo úprava maker a skriptů
• Formátování pevného disku nebo zápis do spouštěcího sektoru

Pokud antivirový program detekuje některé z těchto potenciálně nebezpečných aktivit, může vynutit ukončení programu a upozornit uživatele. Nová generace behaviorálních blokátorů ve skutečnosti analyzuje posloupnost takových akcí, než rozhodne, že je systém infikován (první generace behaviorálních blokátorů jednoduše spustila jednotlivé akce, což vedlo k velkému počtu falešně pozitivních výsledků). Moderní antivirový software dokáže zachytit provádění nebezpečných částí kódu a zabránit jim v interakci s jinými běžícími procesy. Mohou také detekovat. Některé z těchto antivirových programů umožňují „vrátit“ systém do stavu, ve kterém byl před infekcí, a „vymazat“ všechny změny provedené škodlivým kódem.

Zdálo by se, že behaviorální blokátory mohou kompletně vyřešit všechny problémy spojené se škodlivým kódem, ale mají jednu nevýhodu, která vyžaduje takové sledování škodlivého kódu v reálném čase, jinak může být systém stále infikován. Neustálé sledování navíc vyžaduje velké množství systémových prostředků...

POZNÁMKA. Heuristická analýza a blokování založené na chování jsou považovány za proaktivní techniky a mohou detekovat nový malware, někdy nazývaný útoky zero-day. Detekce malwaru založená na podpisu nedokáže identifikovat nový malware.

Většina antivirových programů používá kombinaci všech těchto technologií k zajištění nejlepší možné ochrany. Vybraná antimalwarová řešení jsou zobrazena na obrázku 9-20.

Obrázek 9-20. Výrobci antivirového softwaru používají k detekci škodlivého kódu různé metody

Všichni jsme velmi unavení z e-mailů, které nás žádají, abychom si koupili něco, co nepotřebujeme. Taková písmena se nazývají spam (spam) jsou nevyžádané e-mailové zprávy. Spam nejen odvádí pozornost příjemců od jejich úkolů, ale spotřebovává značnou šířku pásma sítě a může být také zdrojem malwaru. Mnoho společností používá na svých e-mailových serverech filtry nevyžádané pošty a uživatelé mohou ve svých e-mailových klientech nakonfigurovat pravidla filtrování nevyžádané pošty. Ale spameři, stejně jako autoři virů, neustále vymýšlejí nové a důmyslné způsoby, jak obejít spamové filtry.

Efektivní detekce spamu se stala skutečnou vědou. Jedna z používaných metod je tzv Bayesovské filtrování (Bayesovské filtrování). Před mnoha lety vyvinul pán jménem Thomas Bayes (matematik) účinný způsob, jak předpovídat pravděpodobnost výskytu jakýchkoli událostí pomocí matematiky. Bayesův teorém nám umožňuje určit pravděpodobnost, že k nějaké události došlo za přítomnosti pouze nepřímých důkazů (dat), které mohou být nepřesné. Koncepčně to není tak těžké pochopit. Pokud třikrát narazíte hlavou do cihlové zdi a pokaždé spadnete, můžete dojít k závěru, že další pokusy povedou ke stejným bolestivým výsledkům. Je zajímavější, když je tato logika aplikována na akce, které obsahují mnohem více proměnných. Jak například funguje spamový filtr, který nedovolí dopisy od vás s nabídkou na koupi viagry, ale nezabrání doručení pošty od vašeho známého, který se o tento lék velmi zajímá a píše vám zprávy o jeho vlastnostech a účincích na těle? Bayesův filtr aplikuje statistické modelování na slova, která tvoří e-mailové zprávy. Na těchto slovech jsou prováděny matematické vzorce, aby bylo možné plně pochopit jejich vzájemný vztah. Bayesův filtr provádí frekvenční analýzu každého slova a poté vyhodnotí zprávu jako celek, aby určil, zda se jedná o spam či nikoli.

Tento filtr nehledá pouze slova „Viagra“, „sex“ atd., ale zjišťuje, jak často jsou tato slova používána a v jakém pořadí, aby určil, zda je zpráva spam. Spammeři bohužel vědí, jak tyto filtry fungují, a manipulují se slovy v předmětu a těle zprávy, aby se pokusili oklamat spamový filtr. To je důvod, proč můžete dostávat spamové zprávy s překlepy nebo slovy, která místo písmen používají symboly. Spameři mají velký zájem na tom, abyste dostávali jejich zprávy, protože na tom vydělávají hodně peněz.

Ochrana společností před širokou škálou malwaru vyžaduje více než jen antivirový software. Stejně jako u ostatních komponent je nutné implementovat a udržovat určitá další administrativní, fyzická a technická zabezpečení.

Společnost musí mít samostatnou antivirovou politiku, případně problémy s antivirovou ochranou zohlednit v té obecné. Musí být vyvinuty, které definují typy antivirového a antispywarového softwaru potřebného pro použití ve společnosti a také hlavní parametry jejich konfigurace.

V programu by měly být uvedeny informace o virových útocích, použitých nástrojích antivirové ochrany a také chování očekávané od uživatelů. Každý uživatel by měl vědět, co má dělat a kam se obrátit, pokud je v jeho počítači detekován virus. Norma musí řešit všechny problémy související s akcemi uživatele spojenými se škodlivým kódem a musí uvádět, co uživatel musí dělat a co má zakázáno. Norma by měla obsahovat zejména následující otázky:

• Antivirový software musí být nainstalován na každé pracovní stanici, serveru, komunikátoru a chytrém telefonu.
• Každé z těchto zařízení musí mít způsob automatické aktualizace antivirových signatur, který musí být povolen a konfigurován na každém zařízení.
• Uživatel by neměl mít možnost deaktivovat antivirový software.
• Proces odstraňování virů musí být vypracován a naplánován předem a musí být identifikována a jmenována kontaktní osoba pro případ zjištění škodlivého kódu.
• Všechny externí disky (USB disky atd.) by měly být skenovány automaticky.
• Záložní soubory musí být skenovány.
• Antivirové zásady a postupy by měly být každoročně přezkoumávány.
• Antivirový software, který používáte, musí poskytovat ochranu proti boot virům.
• Antivirová kontrola musí být prováděna nezávisle na bráně a na každém jednotlivém zařízení.
• Antivirová kontrola by se měla spouštět automaticky podle plánu. Nemusíte se spoléhat na to, že uživatelé budou skenovat ručně.
• Kritické systémy musí být fyzicky chráněny tak, aby na ně byla nemožná místní instalace škodlivého softwaru.

Protože malware může způsobit škody za miliony dolarů (provozní náklady, ztrátu produktivity), mnoho společností instaluje antivirová řešení na všechny vstupní body sítě. Antivirový skener lze integrovat do softwaru poštovního serveru nebo . Tento antivirový skener kontroluje veškerý příchozí provoz na přítomnost škodlivého kódu, aby jej předem detekoval a zastavil, ještě předtím, než se dostane do vnitřní sítě. Produkty, které implementují tuto funkci, mohou kontrolovat provoz z protokolů SMTP, HTTP, FTP a případně dalších. Je však důležité pochopit, že takový produkt monitoruje pouze jeden nebo dva protokoly a ne veškerý příchozí provoz. To je jeden z důvodů, proč by každý server a pracovní stanice měl mít nainstalovaný antivirový software.

V článku 273 trestního zákoníku Ruské federace, pod malware se týká počítačových programů nebo změn existujících programů, které „vědomě vedou k neoprávněnému zničení, blokování, pozměňování nebo kopírování informací, narušení provozu počítače, počítačového systému nebo jejich sítě“.

Společnost Microsoft Corporation používá termín malware a definuje jej takto: „malware je zkratka pro škodlivý software, obvykle používaný jako běžný termín k označení jakéhokoli softwaru speciálně navrženého k poškození jednotlivého počítače, serveru nebo počítačové sítě, bez ohledu na zda se jedná o virus, spyware atd.“

Škody způsobené takovým softwarem mohou zahrnovat poškození:

• software a hardware počítače (sítě) napadeného narušitelem;
• počítačová uživatelská data;
• samotnému uživateli počítače (nepřímo);
• uživatelé jiných počítačů (nepřímo).

Konkrétní škody pro uživatele a (nebo) vlastníky počítačových systémů a sítí mohou zahrnovat následující:

• únik a (nebo) ztráta cenných informací (včetně finančních informací);
• abnormální chování softwaru nainstalovaného v systému;
• prudký nárůst příchozího a (nebo) odchozího provozu;
• zpomalení nebo úplné selhání počítačové sítě;
• ztráta pracovní doby zaměstnanců organizace;
• přístup pachatele ke zdrojům podnikové počítačové sítě;
• riziko, že se stanou obětí podvodu.

Mezi příznaky malwaru patří:

• skrytí vaší přítomnosti v počítačovém systému;
• implementace autoduplikace, spojení vašeho kódu s jinými programy, přenos vašeho kódu do dříve neobsazených oblastí paměti počítače;
• zkreslení kódu jiných programů v paměti RAM počítače;
• ukládání dat z paměti RAM jiných procesů v jiných oblastech paměti počítače;
• zkreslení, blokování, nahrazování uložených nebo přenášených dat získaných v důsledku provozu jiných programů nebo již umístěných v externí paměti počítače;
• nesprávné informování uživatele o akcích, které program údajně provedl.

Škodlivý program může mít pouze jednu z výše uvedených vlastností nebo jejich kombinaci. Je zřejmé, že výše uvedený seznam není vyčerpávající.

Na základě přítomnosti materiálních výhod lze škodlivý software (software) rozdělit na:

• nepřináší přímý materiální prospěch osobě, která vyvinula (nainstalovala) škodlivý program (vyvinutý na základě chuligánství, „vtipu“, vandalismu, včetně náboženských, nacionalistických, politických důvodů, sebepotvrzení a touhy potvrdit svou kvalifikaci);
• přinášet pachateli přímý majetkový prospěch v podobě odcizení důvěrných informací, včetně získání přístupu do bankovních a klientských systémů, získání PIN kódů kreditních karet a dalších osobních údajů uživatele, jakož i získání kontroly nad vzdálenými počítačovými systémy pro účelem distribuce spamu z mnoha „infikovaných“ počítačů (počítače zombie).

Podle účelu vývoje lze malware rozdělit na:

• Software, který byl původně vyvinut speciálně pro získání neoprávněného přístupu k informacím uloženým v počítači s cílem způsobit škodu vlastníkovi informací a (nebo) vlastníkovi počítače (počítačové sítě);
• Software, který nebyl původně vyvinut speciálně za účelem získání neoprávněného přístupu k informacím uloženým v počítači a původně neměl za cíl způsobit škodu vlastníkovi informací a (nebo) vlastníkovi počítače (počítačové sítě).

Nedávno došlo ke kriminalizaci průmyslu tvorby malwaru, což má za následek následující:

• krádež důvěrných informací (obchodní tajemství, osobní údaje);
• vytváření zombie sítí („botnetů“) určených k rozesílání spamu, distribuovaných útoků odmítnutí služby (DDoS útoků) a zavádění trojských proxy serverů;
• šifrování uživatelských informací s následným vydíráním a požadavky na výkupné;
• útoky na antivirové produkty;
• tzv. flushing (permanent denial of service - PDoS).

Útoky odepření služby se nyní nepoužívají ani tak jako nástroj k vymáhání peněz od obětí, ale jako prostředek politického a konkurenčního boje. Jestliže dříve byly DoS útoky nástrojem pouze v rukou vyděračských hackerů nebo chuligánů, nyní se staly stejnou komoditou jako spam nebo malware na míru. Reklama služeb útoků DoS se stala běžnou záležitostí a ceny jsou již srovnatelné s náklady na organizaci spamových e-mailů.

Společnosti specializující se na bezpečnost počítačů a sítí věnují pozornost novému typu hrozby – tzv. trvalému odmítnutí služby (ROoS). Nový typ útoku dostal jiný název – flushing. Je potenciálně schopen způsobit systému mnohem více škody než jakýkoli jiný typ síťové škodlivé činnosti, protože je zaměřen na deaktivaci počítačového vybavení. Útoky RooB jsou účinnější a levnější než tradiční typy útoků, kdy se hacker snaží do systému oběti nainstalovat malware. Při flashování jsou cílem útoku programy ve flash paměti VUB a ovladače zařízení, které při poškození narušují chod zařízení a jsou potenciálně schopny je fyzicky zničit.

Dalším typem útoku zaměřeného na krádež důvěrných informací je případ, kdy útočníci zavedou do informačního systému společnosti škodlivý program, který může zablokovat provoz systému. V další fázi napadená společnost obdrží dopis od zločinců požadujících peníze za heslo, které jim umožní odemknout počítačový systém společnosti. Dalším podobným způsobem, jak nelegálně vydělat peníze online, je spouštění trojských koní do vašeho počítače, které dokážou šifrovat data. Dešifrovací klíč také posílají zločinci za určitou peněžní odměnu.

Mezi osobní údaje uživatele napadeného počítače, které jsou pro útočníka zajímavé, patří:

• dokumenty a jiná uživatelská data uložená v počítačové paměti;
• názvy účtů a hesla pro přístup k různým síťovým zdrojům (elektronické peníze a platební systémy, internetové aukce, internetové pagery, e-mail, internetové stránky a fóra, online hry);
• emailové adresy ostatních uživatelů, 1P adresy ostatních počítačů v síti.

Díky novým možnostem, které internet poskytuje a zejména rozšířenému rozšíření sociálních sítí, se stále více lidí pravidelně obrací k internetovým zdrojům a stává se obětí stále sofistikovanějších útoků, jejichž účelem je jak krádež důvěrných uživatelských dat, tak „zombie ” jejich počítače za účelem následného využití jejich zdrojů pachateli.

Efektivní provoz „zombie“ sítě je určen třemi součástmi, z nichž se konvenčně skládá:

• zavaděč, jehož úkolem je distribuovat svůj vlastní kód a kód programu bota, který provádí hlavní práci;
• robotický program, který shromažďuje a přenáší důvěrné informace, rozesílá spam, účastní se útoku EEoB a dalších akcí, které mu porušovatel přiřadí;
• modul pro řízení botnetu, který shromažďuje informace z programů botů a posílá jim aktualizace a v případě potřeby nové konfigurační soubory, které „přesměrují“ programy botů.

Příklady antivirového softwaru nainstalovaného na uživateli, aby čelil malwaru, jsou:

• nucené zastavení antivirového skeneru nebo monitoru;
• změna nastavení bezpečnostního systému pro usnadnění implementace a provozu škodlivého programu;
• automatické kliknutí na tlačítko „Přeskočit“ poté, co uživatel obdrží varování o detekovaném malwaru;
• skrytí vaší přítomnosti v systému (tzv. „rootkity“);
• zkomplikování antivirové analýzy dodatečnou transformací škodlivého kódu (šifrování, zamlžování nebo zatemňování, polymorfismus, balení).

Až do posledních let byla práce antivirových programů založena pouze na analýze obsahu kontrolovaného objektu. Dřívější metoda detekce virů založená na signaturách (tzv. skenování) přitom využívala hledání pevných sekvencí bajtů, často s určitým posunem od začátku objektu, obsažených v binárním kódu škodlivého kódu. program. Heuristická analýza, která se objevila o něco později, také zkontrolovala obsah kontrolovaného objektu, ale byla založena na volnějším, pravděpodobnostním hledání sekvencí bajtů charakteristických pro potenciálně škodlivý program. Je zřejmé, že škodlivý program tuto ochranu snadno obejde, pokud je každá jeho kopie novou sadou bajtů.

Právě tento problém řeší polymorfismus a metamorfismus, jehož podstatou je, že při vytváření své další kopie se škodlivý program zcela změní na úrovni množiny bajtů, ze kterých se skládá. Jeho funkčnost však zůstává nezměněna.

Samotné šifrování a obfuskace (obfuskace kódu) jsou primárně zaměřeny na ztížení analýzy programového kódu, ale pokud jsou implementovány určitým způsobem, ukazují se jako typy polymorfismu (například šifrování každé kopie viru jedinečným klíčem ). Zatemnění samo o sobě pouze komplikuje analýzu, ale je-li použito novým způsobem v každé kopii malwaru, narušuje antivirovou kontrolu.

Polymorfismus se poměrně rozšířil až v éře virů, které infikují soubory. To je vysvětleno skutečností, že psaní polymorfního kódu je velmi složitý a náročný na zdroje a je oprávněný pouze v případech, kdy se škodlivý program reprodukuje nezávisle: každá jeho nová kopie je víceméně unikátní sadou bajtů. U většiny moderních malwarů, které nemají funkci sebereplikace, to není relevantní. Polymorfismus se proto v současnosti u malwaru příliš nevyskytuje.

Naopak zamlžování, stejně jako další metody úpravy kódu, které do značné míry řeší problém komplikování jeho heuristické analýzy, a nikoli úkol komplikovat skenování, díky této okolnosti neztrácejí na významu.

Ke zmenšení velikosti souboru se škodlivým programem se používají tzv. packery - speciální programy, které soubor zpracují na principu archivátoru. Vedlejším a výhodným (z hlediska působení antivirových programů) efektem používání packerů je poněkud obtížná antivirová kontrola.

To je vysvětleno skutečností, že při vývoji nové modifikace škodlivého programu jeho autor obvykle změní několik řádků kódu, přičemž jeho jádro zůstane nedotčeno. Ve spustitelném kódu se bajty v určité části souboru změní, a pokud signatura používaná antivirovým programem neobsahovala tuto konkrétní část, bude škodlivý program stále detekován. Zpracování programu pomocí packeru tento problém řeší, protože změna byť jednoho bajtu ve zdrojovém spustitelném kódu má za následek zcela novou sadu bajtů v komprimovaném souboru.

Mnoho moderních baličů kromě komprimace zdrojového souboru poskytuje tomuto souboru další funkce sebeobrany, které znesnadňují rozbalení souboru a jeho analýzu pomocí debuggeru.

Malware (někdy také nazývaný destruktivní softwarové vlivy) Je obvyklé zahrnovat počítačové viry a softwarové záložky. První termín počítačový virus představil americký specialista F. Cohen v roce 1984. „Klasický“ počítačový virus je autonomně fungující program, který má současně tři vlastnosti:

• schopnost zahrnout váš kód do těl jiných objektů (souborů a systémových oblastí paměti počítače);
• následná nezávislá realizace;
• nezávislá distribuce v počítačových systémech.

Počítačové viry nevyužívají síťové služby k pronikání do jiných počítačů v síti. Kopie viru se dostane do vzdálených počítačů pouze tehdy, pokud je infikovaný objekt z nějakého důvodu mimo kontrolu viru aktivován na jiném počítači, například:

• při infikování uživatelsky přístupných síťových disků virus pronikl do souborů umístěných na těchto síťových prostředcích;
• virus se zkopíroval na vyměnitelné médium nebo na něm infikované soubory;
• Uživatel odeslal e-mail s přílohou infikovanou virem.

Důležitým faktem je, že viry nemají prostředky k šíření za hranice jednoho počítače. K tomu může dojít pouze v případě, že je infikováno vyměnitelné paměťové médium (disketa, flash disk) nebo když uživatel sám přenese virem infikovaný soubor na jiný počítač po síti.

Spouštěcí viry infikovat hlavní spouštěcí sektor pevného disku (Master Boot Record - MBR) nebo spouštěcí sektor oddílu pevného disku, systémové diskety nebo spouštěcího CD (Boot Record - BR) tím, že nahradí spouštěcí a spouštěcí programy operačního systému v nich obsažené s jejich kódem. Původní obsah těchto sektorů je uložen v některém z volných sektorů disku nebo přímo v těle viru.

Po infikování MBR, což je první sektor nulové hlavy nulového cylindru pevného disku, získá virus kontrolu ihned po dokončení hardwarové testovací procedury (POST), programu BIOS Setup (pokud byl vyvolán uživatele), postupy systému BIOS a jeho rozšíření. Po obdržení kontroly provede boot virus následující akce:

• 1) zkopírování kódu na konec paměti RAM počítače, čímž se zmenší velikost jeho volné části;
• 2) potlačení několika přerušení BIOSu, zejména souvisejících s přístupem k diskům;
• 3) načtení skutečného spouštěcího programu do paměti RAM počítače, jehož funkce zahrnují zobrazení tabulky oddílů pevného disku, určení aktivního oddílu, načtení a přenesení řízení na spouštěcí program operačního systému aktivního oddílu;
• 4) převod řízení na skutečný bootstrap program.

Zaváděcí virus ve VY funguje podobným způsobem a nahrazuje spouštěcí program operačního systému. Běžnou formou infekce počítače boot virem je náhodný pokus o zavedení z nesystémové diskety (nebo CO disku), jejíž boot sektor je infikován virem. Tato situace nastane, když infikovaná disketa zůstane v jednotce při restartu operačního systému. Jakmile je infikován hlavní spouštěcí sektor pevného disku, virus se šíří při prvním přístupu k jakékoli neinfikované disketě.

Boot viry obvykle patří do skupiny rezidentních virů. Boot viry byly v 90. letech minulého století poměrně běžné, ale prakticky vymizely s přechodem na 32bitové operační systémy a opuštěním používání disket jako hlavní metody výměny informací. Teoreticky je možné, že by se mohly objevit boot viry, které infikují SP disky a flash disky, ale zatím nebyly žádné takové viry detekovány.

Souborové viry infikovat soubory různých typů:

• programové soubory, soubory ovladačů zařízení a další moduly operačního systému;
• soubory dokumentů, které mohou obsahovat makra;
• soubory dokumentů, které mohou obsahovat skripty (skripty) nebo samostatné soubory skriptů atd.

Když je soubor infikován, virus zapíše svůj kód na začátek, doprostřed nebo na konec souboru nebo na několik míst najednou. Zdrojový soubor je upraven tak, že jakmile je soubor otevřen, je kontrola okamžitě přenesena do kódu viru. Po obdržení kontroly kód viru provede následující sekvenci akcí:

• 1) infekce jiných souborů (kombinované viry) a systémových oblastí diskové paměti;
• 2) instalace vlastních rezidentních modulů (rezidentních virů) do RAM;
• 3) provádění dalších akcí v závislosti na algoritmu implementovaném virem;
• 4) pokračování obvyklého postupu pro otevření souboru (například přenesení kontroly do zdrojového kódu infikovaného programu).

Viry v programových souborech, když jsou infikovány, mění svou hlavičku tak, že po nahrání programu do RAM je kontrola přenesena na kód viru. Například formát přenosného spustitelného souboru operačních systémů Windows a OS/2 (Portable Executable - PE) má následující strukturu:

• 1) záhlaví ve formátu operačního systému MS-DOS;
• 2) kód programu reálného režimu procesoru, který přebírá řízení při pokusu o spuštění aplikace Windows v prostředí operačního systému MS-DOS;
• 3) záhlaví PE souboru;
• 4) další (volitelná) hlavička souboru PE;
• 5) hlavičky a těla všech segmentů aplikace (kód programu, jeho statická data, data exportovaná programem, data importovaná programem, informace o ladění atd.).

Část obsahující volitelnou hlavičku souboru PE obsahuje pole obsahující adresu vstupního bodu aplikace. Bezprostředně před vstupním bodem v segmentu kódu aplikace je importní tabulka adres (IAT), která je vyplněna platnými adresami, když je spustitelný kód načten do adresního prostoru procesu.

Když virus infikuje soubor programu, adresa vstupního bodu aplikace se změní tak, aby ukazovala na začátek kódu viru a zajistila, že po načtení souboru programu automaticky převezme kontrolu. Je také možné upravit moduly jádra operačního systému (například kernel32.dll) tak, aby zachytily volání některých systémových funkcí (například CreateProcess, CreateFile, ReadFile, WriteFile, CloseHandle) za účelem infikování jiných souborů.

Typ souborových virů jsou viry v klastrech infikovaného logického disku nebo diskety. Při infikování je kód viru zkopírován do jednoho z volných diskových clusterů, který je označen v File Allocation Table (FAT) jako poslední souborový cluster. Poté se změní popisy programových souborů v adresáři - místo čísla prvního clusteru přiděleného souboru se umístí číslo clusteru obsahujícího kód viru. V tomto případě je skutečné číslo prvního clusteru infikovaného souboru zašifrováno a uloženo např. v nepoužité části popisu souboru v adresáři.

Po spuštění infikovaného souboru je kontrola získána kódem viru, který:

• 1) nainstaluje svůj rezidentní modul do RAM, který následně zachytí veškerý přístup k infikovanému disku;
• 2) načte zdrojový soubor programu a přenese do něj řízení.

Při následném přístupu do adresáře s infikovanými soubory předá rezidentní část viru operačnímu systému skutečné hodnoty čísel prvních clusterů přidělených infikovaným souborům.

Viry v souborech dokumentů vytvořených např. programy Microsoft Office jsou distribuovány pomocí maker v nich obsažených (postupy v jazyce Visual Basic for Applications - programovací jazyk VBA). Proto se takové viry někdy nazývají makroviry nebo jednoduše makroviry.

Makro programovací jazyky, zejména VBA, jsou univerzální jazyky, které podporují objektově orientovanou programovací technologii, mají velkou knihovnu standardních makro příkazů a umožňují vytvářet poměrně složité procedury. Kromě toho podporuje automatické spouštění maker spojených s určitými událostmi (například otevření dokumentu) nebo určitými akcemi uživatele (například při volání příkazu pro uložení dokumentu do souboru).

Příklady automaticky spouštěných maker spojených s konkrétními událostmi zpracování dokumentů Microsoft Word zahrnují:

• AutoExec (spustí se automaticky při spuštění textového editoru Microsoft Word, pokud je umístěn v souboru šablony normal.dot nebo v souboru v podsložce Po spuštění složky Microsoft Office);
• AutoNew (automaticky převezme kontrolu při vytváření nového dokumentu);
• AutoOpen (automaticky spuštěno při otevření dokumentu);
• AutoClose (automaticky spuštěné při zavírání dokumentu);
• Auto Exit (automaticky převezme řízení, když skončí textový procesor Microsoft Word).

Tabulkový procesor Microsoft Excel podporuje pouze některá automaticky spouštěná makra a názvy těchto maker jsou mírně změněny – Auto_open a Auto_close.

Textový procesor Microsoft Word také definuje makra, která automaticky získají řízení, když uživatel zavolá některý ze standardních příkazů - Soubor Uložit (Soubor | Uložit), FileSaveAs (Soubor | Uložit jako), Nástroje-Makro (Nástroje | Makro | Makra), Nástroje Přizpůsobit (Servis | Nastavení) atd.

Dokument Microsoft Office může také obsahovat makra, která automaticky získají řízení, když uživatel stiskne určitou kombinaci kláves na klávesnici nebo dosáhne určitého bodu v čase (datum, denní čas).

Jakékoli makro (včetně automaticky spouštěných) ze samostatného dokumentu lze zapsat do souboru šablony normal.dot (a naopak) a tím se stát dostupným při úpravách jakéhokoli dokumentu aplikace Microsoft Word. Zápis makra do souboru normal.dot lze provést pomocí standardního makro příkazu MacroCopy (WordBasic), metody OrganizerCopy objektu Application nebo metod Copy standardních objektů Organizer (Microsoft Word) a Sheets (Microsoft Excel).

Pro manipulaci se soubory umístěnými v externí paměti počítače mohou makra používat standardní makro příkazy Open (otevření existujícího nebo vytvoření nového souboru), SetAttr (změna atributů souboru), Name (přejmenování souboru nebo složky), Get (čtení dat). z otevřeného souboru), Put (zápis dat do otevřeného souboru), Seek (změna aktuální pozice zápisu nebo čtení ze souboru), Close (zavření souboru), Kill (smazání souboru), RmDir (smazání složky ), MkDir (vytvoření nové složky), ChDir (změna aktuálních složek) atd.

Standardní makro příkaz Shell umožňuje spouštět jakýkoli z programů nebo systémových příkazů nainstalovaných na vašem počítači.

Programovací jazyk VBA tedy mohou dobře využít autoři makrovirů k vytvoření velmi nebezpečného kódu. Nejjednodušší makrovirus v dokumentu Microsoft Word infikuje další soubory dokumentů následovně:

• 1) při otevírání infikovaného dokumentu je předána kontrola makru obsahujícímu kód viru;
• 2) virus umístí další makra s vlastním kódem do souboru šablony normal.dot (například FileOpen, FileSaveAs a FileSave);
• 3) virus nastaví odpovídající příznak v registru Windows a (nebo) v inicializačním souboru aplikace Microsoft Word, což znamená, že došlo k infekci;
• 4) při následném spuštění aplikace Microsoft Word je prvním otevřeným souborem ve skutečnosti již infikovaný soubor šablony normal.dot, který umožňuje virovému kódu automaticky převzít kontrolu a může dojít k infekci dalších souborů dokumentů, pokud jsou uloženy pomocí standardního programu Microsoft Word. příkazy.

Můžeme říci, že většina makrovirů patří do skupiny rezidentních virů, protože část jejich kódu je neustále přítomna v paměti RAM počítače, zatímco je spuštěn program z balíku Microsoft Office.

Umístění kódu makroviru uvnitř dokumentu Microsoft Office lze naznačit poměrně schematicky, protože formát souboru dokumentu je velmi složitý a obsahuje posloupnost datových bloků různých formátů, které jsou vzájemně kombinovány pomocí velkého množství servisních dat. Zvláštností makrovirů je, že mohou infikovat soubory dokumentů na počítačích různých platforem, nejen na IBM PC. Infekce bude možná, pokud jsou na počítači nainstalovány kancelářské programy, které jsou plně kompatibilní s programy ze sady Microsoft Office.

Při ukládání souborů dokumentů zahrnují také náhodná data, která nesouvisí s obsahem dokumentu, ale jsou obsažena v blocích paměti RAM, které jsou při úpravě dokumentu přiděleny, ale nejsou zcela vyplněny. Proto se při přidávání nových dat do dokumentu může jeho velikost měnit nepředvídatelným způsobem, včetně zmenšování. To nám neumožňuje posoudit, zda je soubor dokumentu infikován makroviry, protože jeho velikost se po infekci také nepředvídatelně změní. Upozorňujeme také, že informace náhodně uložené spolu se souborem veřejného dokumentu mohou obsahovat důvěrné informace.

Většina známých makrovirů umísťuje svůj kód pouze do maker. V makrech souborů dokumentů však existují i ​​typy virů, ve kterých je kód viru uložen nejen v makrech. Mezi tyto viry patří malý zavaděč maker hlavního virového kódu, který zavolá editor maker zabudovaný do Microsoft Office, vytvoří nové makro s kódem viru, spustí ho a poté vytvořené makro odstraní, aby skryl stopy jeho přítomnosti. V tomto případě je hlavní kód viru přítomen jako pole řetězců buď v těle zavaděče makra, nebo v proměnné oblasti infikovaného dokumentu.

Infikování souboru šablony normal.dot není jediným způsobem, jak se makroviry mohou šířit v počítači uživatele. Je také možné, že mohou být infikovány další soubory šablon umístěné ve složce Po spuštění ve složce Microsoft Office. Dalším způsobem, jak infikovat soubory uživatelských dokumentů makroviry, je jejich vložení do souborů doplňků aplikace Microsoft Word umístěných ve složce Addins složky Microsoft Office. Makroviry, které neumístí svůj kód do běžné šablony normal.dot, lze klasifikovat jako nerezidentní viry. K infikování dalších souborů tyto makroviry používají buď standardní makropříkazy pro práci se soubory a složkami jazyka VBA, nebo využívají seznam naposledy upravených souborů uživatelem, který je obsažen v podnabídce „Soubor“ aplikace Microsoft Word a další sady Microsoft Office. programy.

Tabulkový procesor Microsoft Excel nepoužívá soubor šablony normal.dot, takže soubory ze složky Po spuštění se používají k infikování souborů jiných uživatelských dokumentů. Zvláštní vlastností makrovirů, které infikují soubory tabulkových procesorů Excel, je to, že je lze zapsat nejen pomocí programovacího jazyka VBA, ale také pomocí makrojazyka „starých“ verzí Microsoft Excel, který je podporován i v pozdějších verzích tohoto tabulkového procesoru. .

V systému správy databází Microsoft Access se makra napsaná ve speciálním skriptovacím jazyce, který má velmi omezené možnosti, používají k automatickému získání kontroly, když dojde k nějaké události (například otevření databáze). Tato automaticky spouštěná makra skriptu (například makro AutoExec, které automaticky převezme řízení při spuštění aplikace Microsoft Access) však mohou volat úplná makra napsaná ve VBA. Aby virus mohl infikovat databázi Microsoft Access, musí vytvořit nebo nahradit automaticky spouštěný makro skript a zkopírovat modul s makry obsahující hlavní část kódu viru do infikované databáze.

Jsou známé kombinované viry, které mohou infikovat jak databáze Microsoft Access, tak dokumenty Microsoft Word. Takový virus se skládá ze dvou hlavních částí, z nichž každá infikuje soubory dokumentů svého vlastního typu (.doc nebo .mdb). Ale obě části takového viru jsou schopny přenést svůj kód z jedné aplikace Microsoft Office do druhé. Při přenosu virového kódu z Microsoft Access se ve složce Po spuštění vytvoří infikovaný další soubor šablony (soubor .dot) a při přenosu virového kódu z Microsoft Word se vytvoří infikovaný databázový soubor Accessu, který se předá jako parametr do Aplikace Microsoft Access spuštěná kódem viru (msaccess .exe).

Antivirové společnosti hlásí nový trend v šíření virů. Po vlně e-mailových a skriptových virů jsou nyní flash disky připojené k počítači přes USB jedním z nejoblíbenějších způsobů distribuce malwaru. To bylo možné díky slabosti operačního systému Windows, který ve výchozím nastavení automaticky spouští soubor autorun.inf z vyměnitelné jednotky.

Podle některých odborníků lze službu INF/Autorun v OS Windows považovat za hlavní bezpečnostní díru v počítačových systémech. Na rozdíl od zasílání infikovaných programů e-mailem v tomto případě ani kompetentní uživatel prakticky nedokáže zabránit infekci, protože stačí vložit infikované zařízení do USB konektoru a proces se stává nevratným. Jedinou prevencí může být zakázání automatického spouštění, které doporučují i ​​bezpečnostní experti ze samotného Microsoftu.

Dalo by se říci, že v některých ohledech je šíření virů na USB discích návratem k počátkům tvorby virů, kdy ještě neexistoval internet. Tehdy se viry šířily z počítače do počítače pomocí disket.

Softwarová záložka je program externí nebo interní k napadenému počítačovému systému, který má ve vztahu k tomuto systému určité destruktivní funkce:

• distribuce v distribuovaných počítačových systémech za účelem implementace té či oné hrozby pro informační bezpečnost (počítačoví nebo síťoví červi, kteří by na rozdíl od počítačových virů neměli mít vlastnost vkládat svůj kód do těl jiných souborů);
• provádění různých akcí neoprávněných uživatelem (shromažďování důvěrných informací a jejich předávání porušovateli, zničení nebo úmyslná úprava uživatelských informací, narušení počítače, využívání počítačových zdrojů k nevhodným účelům („trojské koně“ nebo jednoduše „trojské koně“ );
• zničení nebo úprava fungování softwaru CS, zničení nebo změna dat v něm zpracovávaných po splnění nějaké podmínky nebo přijetí nějaké zprávy zvenčí CS („logické bomby“);
• nahrazení jednotlivých funkcí bezpečnostního subsystému CS nebo vytvoření „pastí“ v něm pro implementaci ohrožení bezpečnosti informací v CS (například nahrazení šifrovacích prostředků emulací činnosti hardwarové šifrovací desky instalované v CS) ;
• zachycení hesel uživatelů CS simulací výzvy k jejich zadání nebo zachycení všech uživatelských vstupů z klávesnice;
• zachycení toku informací přenášených mezi objekty distribuovaného CS (monitory);
• Oportunistické programy, které jsou vyvinuty legitimními výrobci, ale obsahují potenciálně nebezpečné funkce, které může útočník použít.

Aby síťový červ mohl začít pracovat, musíte zpravidla spustit soubor přijatý e-mailem (nebo kliknout na odkaz obsažený přímo v e-mailové zprávě). Existují však také červi, jejichž aktivace nevyžaduje zásah člověka:

• červ je obsažen v textu samotného dopisu a je spuštěn, když uživatel zprávu jednoduše otevře (nebo se otevře v podokně náhledu v okně poštovního klienta) (dopis je v tomto případě text v jazyce obsahujícím skript s kód červa);
• Červ využívá „díry“ (mezery, zranitelnosti) v bezpečnostních systémech operačních systémů a dalších programů (například e-mailu).

Aby přiměli uživatele ke spuštění souboru přijatého e-mailem, používají zločinci velmi sofistikované technologie zvané sociální inženýrství. Například nabídka na vyplnění formuláře připojeného k dopisu za účelem získání velké peněžní výhry, kterou uživatel údajně vyhrál. Nebo maskované jako oficiální e-mail od známé softwarové společnosti (měli byste vědět, že tyto společnosti nikdy neposílají žádné soubory bez žádosti uživatele) atd.

Po spuštění je červ schopen odeslat svůj kód e-mailem pomocí „adresáře“ e-mailového programu. Poté jsou infikovány i počítače přátel uživatele infikovaného počítače.

Hlavním rozdílem mezi síťovými červy a klasickými viry je právě schopnost vlastního šíření po síti a také absence nutnosti infikovat další lokální objekty na infikovaném počítači.

K šíření využívají síťoví červi různé počítačové a mobilní sítě: e-mail, systémy pro rychlé zasílání zpráv, sdílení souborů (P2P) a IRC sítě, místní sítě (LAN), sítě pro výměnu dat mezi mobilními zařízeními (telefony, PDA) atd. .d.

Většina známých červů je distribuována ve formě souborů: příloha e-mailu, odkaz na infikovaný soubor na nějaké webové nebo FTP zprávě v ICQ a IRC zprávách, soubor v adresáři P2P výměny atd. Někteří červi ( tzv. tzv. bezsouboroví nebo paketoví červi) se šíří ve formě síťových paketů, pronikají přímo do paměti počítače a aktivují jejich kód.

Někteří červi mají také vlastnosti jiných typů malwaru. Někteří červi například obsahují funkce pro shromažďování a přenos důvěrných informací uživatele infikovaného počítače vetřelci nebo jsou schopni infikovat spustitelné soubory na místním disku infikovaného počítače, tj. mají vlastnosti trojského koně a (nebo) počítačový virus.

Na Obr. Tabulka 4.1 ukazuje údaje o distribuci počítačových virů (virů) a různých kategorií síťových červů (červ) v roce 2008 (podle společnosti Kaspersky Lab).

Rýže. 4.1.

Některé kategorie trojských koní způsobují poškození vzdálených počítačů a sítí, aniž by poškodily infikovaný počítač (například trojské koně určené k masivním útokům DDoS na vzdálené síťové zdroje).

Na rozdíl od červů a virů trojské koně nepoškozují jiné soubory a nemají vlastní prostředky k šíření. Jsou to jednoduše programy, které provádějí akce škodlivé pro uživatele infikovaného počítače, například zachycují heslo pro přístup k internetu.

V současné době v rámci třídy trojských koní odborníci společnosti Kaspersky Lab identifikují tři hlavní skupiny chování:

• Backdoor (poskytující útočníkovi možnost vzdáleně spravovat infikovaný počítač), Trojan-Downloader (doručení dalších škodlivých programů do počítače uživatele), Trojan-PSW (zachycení hesla), Trojan (jiné trojské koně), nejběžnější trojský kůň programy;
• Trojan-Spy (spyware), Trojan-Dropper (instalační programy pro jiné škodlivé programy);
• Trojan-Proxy („Trojské“ proxy servery), Trojan-Clicker (internetové klikače), Rootkit (skrytí jejich přítomnosti v počítačovém systému), Trojan-DDoS (programy pro účast v distribuovaných útocích odmítnutí služby), Trojan- SMS („“ mobilní trojské koně“ jsou nejnaléhavější hrozbou pro mobilní zařízení).

Některé programy mají sadu funkcí, které mohou uživatele poškodit pouze při splnění řady podmínek. Navíc mohou být takové programy legálně prodávány a používány v každodenní práci, například správci systému. V rukou vetřelce se však takové programy mohou proměnit v nástroj, který může být použit k poškození uživatele. Specialisté společnosti Kaspersky Lab zařazují takové programy do samostatné skupiny podmíněně nebezpečných programů (nelze je jednoznačně klasifikovat jako nebezpečné ani bezpečné).

Tento typ programu je volitelně detekován antivirovými programy, pokud uživatel vědomě zvolí rozšířenou sadu antivirových databází. Pokud jsou programy objevené při používání rozšířených databází uživateli známé a má 100% jistotu, že nepoškodí jeho data (např. uživatel si tento program sám zakoupil, zná jeho funkce a používá je pro legální účely ), pak může uživatel buď odmítnout další používání rozšířených antivirových databází, nebo takové programy přidat do seznamu „výjimek“ (programy, u kterých bude další detekce zakázána).

Mezi potenciálně nebezpečné programy patří programy tříd RiskWare (legálně distribuované potenciálně nebezpečné programy), Porn Ware (programy pro zobrazování pornografických informací) a AdWare (reklamní software).

Třída programů RiskWare zahrnuje legální programy (některé z nich jsou volně prodejné a široce používané pro legální účely), které však v rukou narušitele mohou poškodit uživatele a jeho data. V takových programech můžete najít legální nástroje pro vzdálenou správu, klientské programy IRC, programy pro automatické vytáčení („dialery“), programy pro stahování („downloadery“), monitory jakékoli aktivity (monitor), nástroje pro práci s hesly a také četné internetové servery pro FTP, Web, Proxy a Telnet služby.

Všechny tyto programy nejsou samy o sobě škodlivé, ale mají schopnosti, které mohou útočníci využít k poškození uživatelů. Například program pro vzdálenou správu vám umožňuje přistupovat k rozhraní vzdáleného počítače a používat jej ke správě a sledování vzdáleného počítače. Takový program může být zcela legální, volně distribuovaný a nezbytný pro práci systémových administrátorů nebo jiných technických specialistů. V rukou narušitelů však může takový program poškodit uživatele a jeho data tím, že získá úplný vzdálený přístup k počítači někoho jiného.

Jako další příklad uveďme nástroj, který je klientem sítě IRC: pokročilé funkce takového nástroje mohou využít narušitelé a jimi distribuované trojské koně (zejména Backdoor), které využívají funkce takového nástroje. klienta ve své práci. Trojský kůň je tedy schopen přidávat své vlastní skripty do konfiguračního souboru IRC klienta bez vědomí uživatele a úspěšně provádět své destruktivní funkce na infikovaném počítači. V tomto případě uživatel ani nebude mít podezření, že na jeho počítači působí škodlivý trojský kůň.

Škodlivé programy často nezávisle nainstalují klienta IRC do počítače uživatele pro následné použití pro své vlastní účely. V tomto případě je umístěním obvykle složka Windows a její podsložky. Nalezení IRC klienta v těchto složkách téměř jistě znamená, že počítač byl infikován nějakým druhem malwaru.

Reklamní software (Adware, Advware, Spyware, Browser Hijackers) je určen k zobrazování reklamních sdělení (nejčastěji ve formě grafických bannerů) a přesměrování vyhledávacích dotazů na reklamní webové stránky. S výjimkou zobrazování reklam tyto programy zpravidla nijak nevykazují svou přítomnost v systému. Adware programy obvykle nemají proceduru odinstalace.

• vkládáním reklamních komponent do svobodného a sharewarového softwaru (freeware, shareware);
• prostřednictvím neoprávněné instalace reklamních komponent, když uživatel navštíví „infikované“ webové stránky.

Většina programů v kategoriích freeware a shareware přestane zobrazovat reklamy po jejich zakoupení a/nebo registraci. Takové programy často používají vestavěné nástroje Adware od výrobců třetích stran. V některých případech zůstávají tyto nástroje Adware nainstalovány v počítači uživatele i po registraci programů, se kterými původně vstoupily do systému uživatele. Zároveň odstranění součásti Adware, která je stále používána jakýmkoli programem k zobrazování reklamy, může vést k poruchám tohoto programu.

Základním účelem tohoto typu Adware je implicitní forma platby za software, která se provádí zobrazováním reklamních informací uživateli (inzerenti platí reklamní agentuře za zobrazování své reklamy a reklamní agentura platí vývojáři Adware). Adware pomáhá snižovat náklady jak vývojářům softwaru (příjem z Adwaru je povzbuzuje k psaní nových a vylepšování stávajících programů), tak i samotným uživatelům.

V případě instalace reklamních komponent, kdy uživatel navštíví „infikované“ webové stránky, jsou ve většině případů využívány hackerské technologie (pronikání do počítače mezerou v bezpečnostním systému internetového prohlížeče, stejně jako použití „trojského koně“ ” programy určené ke skryté instalaci softwaru). Adwarové programy, které se chovají tímto způsobem, se často nazývají „únosci prohlížeče“.

Mnoho reklamních programů kromě doručování reklam shromažďuje také důvěrné informace o počítači a uživateli (IP adresa, verze OS a internetového prohlížeče, seznam nejčastěji používaných internetových zdrojů, vyhledávací dotazy a další informace využitelné pro reklamní účely ).

Z tohoto důvodu jsou programy Adware často také nazývány Spyware (adware v kategorii Spyware by neměl být zaměňován se spywarem Trojan-Spy). Programy v kategorii Adware způsobují škody spojené nejen se ztrátou času a rozptýlením uživatele od práce, ale také s velmi reálnou hrozbou úniku důvěrných dat.

Rozdělení programů tříd RiskWare a PornWare podle chování lze prezentovat ve formě koláčového grafu (obr. 4.2, podle Kaspersky Lab).

AdTool jsou různé reklamní moduly, které nelze klasifikovat jako AdWare, protože mají potřebné právní atributy: jsou vybaveny licenční smlouvou, prokazují svou přítomnost na počítači a informují uživatele o svých akcích.

Rýže. 4.2.

Porn-Dialers nezávisle (bez upozornění uživatele) navazují telefonní spojení s prémiovými čísly, což často vede k soudním sporům mezi účastníky a jejich telefonními společnostmi.

Mezi programy v kategorii Monitor patří legální „keyloggery“ (programy pro sledování stisků kláves), které se sice oficiálně vyrábějí a prodávají, ale pokud mají funkci skrytí přítomnosti v systému, lze takové programy použít jako plnohodnotné spywarové trojské koně. .

Programy v kategorii PSW-Tool jsou navrženy k obnovení zapomenutých hesel, ale mohou je snadno použít zločinci k extrahování těchto hesel z paměti počítače nic netušící oběti. Programy v kategorii Downloader mohou zločinci použít ke stažení škodlivého obsahu do počítače oběti.

Mezi další malware patří různé programy, které nepředstavují přímou hrozbu pro počítač, na kterém jsou spouštěny, ale jsou navrženy tak, aby vytvářely další škodlivé programy, organizovaly DDoS útoky na vzdálené servery, hackovaly jiné počítače atd.

Mezi takové programy patří virové podvody (Hoax) a falešné antivirové programy (FraudTool), „hackerské“ programy pro „hackování“ vzdálených počítačů (Exploit, HackTool), konstruktéři a baliči škodlivých programů (Constructor, VirTool, Packed), programy pro rozesílání spamu a „clogging“ útoky (SpamTool, IM-Flooder, Flooder), programy pro klamání uživatele (BadJoke).

Hlavním typem FraudTool je tzv. rogue-antivirus – programy, které se vydávají za plnohodnotné antivirové nástroje. Po instalaci do počítače vždy „najdou“ nějaký druh viru, a to i na absolutně „čistém“ počítačovém systému, a nabídnou k „léčbě“ zakoupení jejich placené verze. Tyto programy kromě přímého klamání uživatelů obsahují i ​​funkci AdWare. Ve skutečnosti se jedná o skutečný podvod založený na strachu uživatelů z malwaru.

Hackerské nástroje kategorií Exploit a HackTool jsou navrženy tak, aby pronikly do vzdálených počítačů za účelem jejich dalšího ovládání (pomocí backdoor trojských koní) nebo zavedly do napadeného systému další škodlivé programy. Hackerské nástroje, jako je „exploit“, využívají zranitelná místa v operačních systémech nebo aplikacích nainstalovaných v napadeném počítači.

Konstruktory virů a trojských koní jsou nástroje určené k vytváření nových počítačových virů a trojských koní. Návrháři virů pro DOS, Windows a makroviry jsou známí. Umožňují generovat zdrojové texty virů, moduly objektů a (nebo) přímo infikované soubory.

Některé konstruktory jsou vybaveny standardním grafickým rozhraním, kde lze pomocí systému nabídek vybrat typ viru, objekty, které mají být ovlivněny, přítomnost nebo nepřítomnost šifrování, odolnost vůči debuggeru, vnitřní textové řetězce a také efekty. doprovázející činnost viru atd. Jiné konstruktory rozhraní nemají a informace o typu vytvářeného viru čtou ze svého konfiguračního souboru.

Obslužné programy kategorie Nuker zasílají na napadené počítače v síti speciálně navržené požadavky, v důsledku čehož napadený systém přestane fungovat. Tyto programy využívají zranitelnosti v softwaru síťových služeb a operačních systémů, v důsledku čehož zvláštní typ síťového požadavku způsobí kritickou chybu v napadené aplikaci.

Mezi programy v kategoriích Bad-Joke a Hoax patří programy, které nezpůsobují žádné přímé poškození počítače, ale zobrazují zprávy, že takové poškození již bylo způsobeno nebo bude způsobeno za jakýchkoli podmínek, nebo varují uživatele před neexistující nebezpečí. „Zlé vtipy“ zahrnují například programy, které uživateli zobrazují zprávy o formátování pevného disku (ačkoli ve skutečnosti k žádnému formátování nedochází), detekují viry v neinfikovaných souborech, zobrazují podivné zprávy podobné virům atd.

Polymorfní generátory nejsou viry v doslovném smyslu slova, protože jejich algoritmus nezahrnuje reprodukční funkce. Hlavní funkcí tohoto druhu programu je zašifrovat tělo viru a vygenerovat odpovídající dešifrovací nástroj.

Obvykle jsou polymorfní generátory distribuovány jejich autory bez omezení ve formě archivního souboru. Hlavním souborem v archivu každého generátoru je objektový modul obsahující tento generátor.

Vývoj fungování malwaru od jednotlivých modulů ke komplexním a vzájemně se ovlivňujícím projektům začal na začátku tohoto století. Nový model fungování malwaru by se měl nejen stát standardem pro množství nových škodlivých projektů, ale měl by být také dále rozvíjen.

Hlavní vlastnosti tohoto modelu jsou následující:

• nedostatek jediného řídicího centra pro síť infikovaných počítačů;
• aktivní boj proti pokusům výzkumu třetích stran a zachycení kontroly;
• Současné hromadné a krátkodobé šíření škodlivého kódu;
• kompetentní používání nástrojů sociálního inženýrství;
• používání různých způsobů distribuce a postupné vyřazování těch nejviditelnějších (e-mail);
• použití různých modulů k implementaci různých funkcí (spíše než jedné univerzální).

Analogicky se známým termínem Web 2.0 lze novou generaci malwaru nazvat MalWare 2.0.

Technika skrývání přítomnosti v systému (rootkity) se uplatní nejen u trojských koní, ale také u souborových virů. Dojde tak k návratu do dob operačního systému MS-DOS, kdy existovaly rezidentní stealth viry. Jde o logický vývoj metod boje proti antivirovým programům. Škodlivé programy mají nyní tendenci „přežívat“ v systému i poté, co byly detekovány.

Dalším nebezpečným způsobem, jak skrýt přítomnost programu v počítači, je technologie infikování spouštěcího sektoru disku - takzvané „bootkity“. Jedná se o další návrat staré techniky, která umožňuje škodlivému programu získat kontrolu před načtením hlavní části operačního systému (a antivirových programů). Bootkity jsou rootkity s funkcí načítání ze spouštěcích sektorů libovolného zařízení. Jejich nebezpečí spočívá v tom, že škodlivý kód získá kontrolu ještě před spuštěním OS, potažmo antivirového programu.

Jedním z nejvýraznějších příkladů implementace technologie bootkit je vbootkit. Zjednodušená sekvence akcí vbootkit vypadá takto. Po zapnutí počítače a spuštění programů BIOS se aktivuje kód Vbootkit (z CD nebo jiného zařízení). Poté se spustí spouštěcí program z MBR a zavaděč Windows Vista, po kterém se řízení přenese do jádra tohoto operačního systému.

Jakmile vbootkit získá kontrolu nad systémem, spustí přerušení BIOS 13 a poté vyhledá signatury pro Windows Vista. Jakmile je detekován, začne upravovat systém Windows Vista a zároveň se skryje (umístěním kódu na malé kousky do různých oblastí paměti RAM). Tyto úpravy zahrnují obcházení bezpečnostních opatření, jako je kontrola elektronických digitálních podpisů, kontrola hashů a provádění určitých akcí pro udržení kontroly nad systémem během první i druhé fáze procesu spouštění.

Druhá fáze zahrnuje rozšíření jádra operačního systému tak, aby si nad ním vbootkit ponechal kontrolu, dokud nebude restartován. Tímto způsobem bude mít uživatel načtený vbootkit do jádra Windows Vista.

Bootkity ukládají do spouštěcího sektoru pouze minimum nutné ke spuštění hlavního kódu. Tento základní kód je uložen v jiných sektorech, jejichž obsah bootkit skryje zachycováním přerušení BIOSu, aby mohl sektor přečíst.

Uživatelé sociálních sítí se mohou stát hlavním cílem tzv. phishingu. Pověřovací údaje účastníků různých síťových služeb budou mezi porušovateli velmi žádané. Bude to důležitá alternativa k technice umísťování malwaru na hacknuté webové stránky. Trojské koně mohou být distribuovány právě prostřednictvím účtů uživatelů sociálních sítí, prostřednictvím jejich blogů a profilů.

Dalším problémem souvisejícím se sociálními sítěmi může být XSSPHPSQL-aTaKH. Na rozdíl od phishingu, který se spoléhá pouze na klamání a techniky sociálního inženýrství, tyto útoky využívají chyby a zranitelnosti v samotných službách Web 2.0 a mohou ovlivnit i vysoce gramotné uživatele. V tomto případě jsou cílem porušovatelů osobní údaje uživatelů, které jsou potřebné k vytvoření určitých databází a seznamů pro provádění následných útoků pomocí „tradičních“ metod.

Hlavní faktory zajišťující současný zájem uživatelů a hackerů o služby Web 2.0 jsou:

• přenos uživatelských dat z osobního počítače na internet;
• používání jednoho účtu pro několik různých služeb;
• dostupnost podrobných informací o uživatelích;
• dostupnost informací o spojeních, kontaktech a známostech uživatelů;
• poskytování místa pro zveřejnění jakýchkoli informací;
• důvěryhodné vztahy mezi kontakty.

Tento problém je již poměrně vážný a podle odborníků má všechny šance stát se velkým problémem informační bezpečnosti.

Pokud jde o mobilní zařízení, a především mobilní telefony, hrozby pro ně jsou distribuovány mezi primitivní trojské programy a různé zranitelnosti v operačních systémech a aplikacích pro chytré telefony.

V souladu se způsoby zavádění softwarových záložek do CS a možnými místy pro jejich umístění v systému lze záložky rozdělit do následujících skupin:

• softwarové záložky spojené s BIOSem;
• záložky spojené se spouštěcími a spouštěcími programy operačního systému;
• záložky spojené s ovladači operačního systému a dalšími moduly systému;
• záložky spojené s univerzálním aplikačním softwarem (například archivátory);
• programové soubory obsahující pouze kód záložky a implementované pomocí dávkových dávkových souborů;
• Záložky vydávané za univerzální aplikační software;
• záložky maskované jako herní a vzdělávací software (pro usnadnění jejich počáteční implementace v počítačovém systému).

Kapitola 1. FUNKCE OBJEDNÁVÁNÍ ♦ MALWARE V KRITICKÉM

DŮLEŽITÉ SEGMENTY INFORMAČNÍ OBLASTI.

1.1. Škodlivé programy jako zdroj hrozeb pro kritické segmenty informační sféry.

1.2. Boj proti malwaru v kritických segmentech informační sféry.

1.3. Vyjádření problému komplexního hodnocení účinnosti boje proti malwaru v kritických segmentech informační sféry.

1.4. Závěry.

Kapitola 2. TVORBA INDIKÁTORŮ

ÚČINNOST POTÍŽENÍ MALWARU V KRITICKÝCH SEGMENTECH INFORMAČNÍ SFÉRY.

2.1. Metodika strukturování ukazatelů výkonu proti malwaru.

2.2. Metodika syntézy hierarchické struktury indikátorů účinnosti antimalwaru.

2.3. Jednotný popis struktury ukazatelů výkonu antimalwaru

2.4. Závěry.

Kapitola 3. MATEMATICKÉ MODELOVÁNÍ

PROCESY PRO BOČENÍ MALWARU V KRITICKÝCH SEGMENTECH INFORMAČNÍ SFÉRY.

3.1. Vlastnosti syntézy matematického modelu pro hodnocení účinnosti boje proti malwaru.

3.2. Formální prezentace procesů fungování antimalwarových nástrojů.

3.3. Simulační model pro hodnocení časové účinnosti boje proti malwaru

3.4. Analytické modely pro hodnocení pravděpodobnostních ukazatelů účinnosti boje proti malwaru. ^

3.5. Prezentace počátečních dat pro hodnocení pravděpodobnostních ukazatelů účinnosti boje proti malwaru.

3.6. Závěry.

Kapitola 4. POČÍTAČOVÉ EXPERIMENTY K POSOUZENÍ EFEKTIVNOSTI POTÍŽENÍ MALWARU V KRITICKY DŮLEŽITÝCH SEGMENTECH INFORMAČNÍ OBLASTI.

4.1. Metodika plánování výpočetních experimentů k posouzení účinnosti boje proti malwaru

4.2. Výsledky výpočtových experimentů.

4.3. Analýza účinnosti navržené metody pro hodnocení protiopatření malwaru.

4.4. Závěry.

Doporučený seznam disertačních prací

• Matematické modely zobecněného hodnocení účinnosti čelit hrozbám pro bezpečnost segmentů informační sféry. 2006, kandidát technických věd Likhodedov, Denis Jurijevič

• Funkční modelování škodlivých dopadů na kritické segmenty informační sféry 2008, kandidát technických věd Modestov, Alexey Albertovich

• Modelování a optimalizace fungování automatizovaných kontrolních systémů orgánů vnitřních záležitostí v rámci boje proti malwaru 1999, doktor technických věd Skryl, Sergey Vasilievich

• Teoretické základy a praktická realizace syntézy informačních systémů pro automatizované řídicí komplexy kritických objektů 2009, doktor technických věd Krupenin, Alexander Vladimirovich

• Výzkum a vývoj algoritmů pro rozpoznávání malwaru při bránění neoprávněnému ovlivňování informačních zdrojů zabezpečených počítačových sítí 2004, kandidát technických věd Kiselev, Vadim Vjačeslavovič

Úvod disertační práce (část abstraktu) na téma „Vývoj a výzkum algoritmů pro komplexní hodnocení účinnosti boje proti malwaru v kritických segmentech informační sféry“

Relevance výzkumného tématu. Intenzivní rozvoj a zdokonalování informačních technologií vede k nutnosti považovat expanzi informační sféry za dominantní trend. To vedlo ke vzniku samostatné třídy prvků této sféry, jejích tzv. kritických segmentů - informační systémy podporující činnost orgánů státní správy /1/, systémy řízení komunikační infrastruktury /2/, finance /3/, energetika /4 /, doprava 151 a záchranná služba 161. Rozšiřování informační sféry zároveň vedlo ke vzniku různých typů ohrožení prvků informační sféry 111. Její kritické segmenty se přitom staly hlavními předmětem takových hrozeb. To vyvolalo potřebu řešit řadu problémů spojených s organizací ochrany informační sféry s cílem předcházet škodám z narušení její bezpečnosti za přítomnosti různých zdrojů ohrožení /8 - 13/.

Jedním z nejzávažnějších zdrojů hrozeb v informační sféře je malware /14 - 16/ - jeden z hlavních nástrojů nelegální manipulace s informacemi /17/ v jejích počítačových sítích /18/. Škodlivé programy jsou navrženy vysoce kvalifikovanými specialisty /19/ jako programy virového typu /20 - 26/, což umožňuje využívat takové výhody počítačových virů, jako je izomorfní struktura, schopnost vytvářet vlastní kopie a projevovat se pouze za určitých podmínek. parametry výpočetního prostředí /27 - 28/. Tyto vlastnosti umožňují škodlivým programům implementovat funkce nelegální manipulace s informacemi v extrémně krátkých časových úsecích, což výrazně komplikuje schopnost je odhalit a eliminovat, a v důsledku toho řadí takové programy do kategorie jednoho z nejpokročilejších nástrojů. za protiprávní jednání v informační sféře dnes /29/.

Škodlivé programy ovlivňují především dočasné vlastnosti prvků informační sféry, protože jejich dopad má za následek významné dočasné ztráty spojené s obnovením správnosti informačních procesů.

V tomto ohledu je zřejmé, že škodlivé programy jsou faktorem výrazného snížení efektivity využívání především kritických segmentů informační sféry, neboť jejich činnost je zaměřena na rychlé zpracování příchozích informací. To nám zase umožňuje klasifikovat malware jako samostatnou třídu nejzávažnějších hrozeb pro bezpečnost informačního sektoru.

Proto se problém ochrany kritických segmentů informační sféry před tímto typem hrozby stává naléhavým. Je zřejmé, že jeho řešení je nutné provádět systematicky, na základě komplexního studia antimalwarových technologií. Skutečnost, že tyto technologie jsou charakterizovány mnoha heterogenními parametry, činí jejich výzkumnou problematiku složitou jak vědecky, tak prakticky.

Podobné studie naznačují:

Provádění systémové analýzy stavu ochrany proti malwaru jako celku v informační sféře a jeho jednotlivých kritických segmentech;

Výzkum účinných metod a prostředků boje proti malwaru;

Hodnocení antimalwarových technologií v kritických segmentech informační sféry.

To vše si vyžádalo hledání přístupů k hodnocení účinnosti boje proti malwaru, které by systematicky zohledňovaly všechny vlastnosti používaných technologií.

Jak ukazuje analýza stavu problému /30/, jedním z nejslibnějších způsobů řešení tohoto problému je syntetizovat komplexní indikátor, který charakterizuje schopnosti technologií používaných k boji proti malwaru. Syntéza komplexního indikátoru má zároveň řadu funkcí spojených s přítomností mnoha směrů jak v klasifikaci schopností různých technologií čelit malwaru, tak ve využívání matematických nástrojů pro výzkum.

To umožnilo navrhnout zásadně nový přístup k řešení problému komplexního hodnocení účinnosti boje proti malwaru v kritických segmentech informační sféry.

Podstatou tohoto přístupu je vyvinout rozumná pravidla pro syntézu komplexního ukazatele účinnosti boje proti malwaru, jehož podoba bude optimální z hlediska odrážení schopností použitých protiakčních technologií.

Navzdory skutečnosti, že zlepšování teorie a praxe zajišťování bezpečnosti informací se stalo mimořádně palčivým problémem, speciální studie ve vztahu k úkolům komplexního hodnocení účinnosti boje proti škodlivým programům v informační sféře obecně a boje proti škodlivým programům v její sféře zejména kritické segmenty nebyly provedeny.

Vzhledem k tomu, že navrhovaná metoda hodnocení účinnosti boje proti malwaru není v dostupné literatuře pokryta a známé metody neumožňují komplexní posouzení schopností nástrojů proti malwaru, dává to důvod tvrdit, že úkol vyvinout metody pro komplexní hodnocení účinnosti těchto nástrojů je mimořádně aktuální a otázky související s touto oblastí vyžadují seriózní studium jak z hlediska metodologického, tak aplikovaného. To vše ukazuje na relevanci tématu této disertační práce, prováděné v souladu s Doktrínou informační bezpečnosti Ruské federace 111, jakož i v souladu s vědeckým vedením Voroněžského institutu Ministerstva vnitra Ruska souvisejícím na zdůvodnění požadavků na prostředky a systémy informační bezpečnosti.

Předmětem výzkumu jsou technologie pro boj s malwarem v kritických segmentech informační sféry.

Předmětem výzkumu jsou metody komplexního hodnocení účinnosti boje proti malwaru v kritických segmentech informační sféry.

Cílem disertační práce je zdokonalit metody hodnocení protizásahové aktivity malwaru v kritických segmentech informační sféry na základě syntézy komplexního ukazatele účinnosti používaných protiakčních technologií.

K dosažení cíle jsou řešeny následující vědecké úkoly:

Teoretické zdůvodnění systémových požadavků na syntézu komplexního ukazatele účinnosti boje proti malwaru v kritických segmentech informační sféry;

Vývoj algoritmu pro syntézu takového indikátoru;

Konstrukce optimální struktury privátních indikátorů účinnosti používaných antimalwarových technologií;

Vývoj sady analytických a simulačních modelů, které poskytují hodnocení ukazatelů účinnosti používaných antimalwarových technologií;

Experimentální testování algoritmů pro komplexní hodnocení účinnosti boje proti malwaru v kritických segmentech informační sféry.

Metody výzkumu. Práce využívá metod systémové analýzy, teorie informační bezpečnosti, teorie množin, teorie grafů, matematického modelování, teorie pravděpodobnosti a matematické statistiky a teorie náhodných procesů.

Platnost a spolehlivost získaných výsledků je zajištěna:

Využití osvědčených matematických nástrojů v procesu formalizace procesů boje proti malwaru;

Experimentální ověření vyvinutých matematických modelů a korespondence získaných výsledků s případy známými z odborné literatury.

Vědecká novost a teoretický význam výsledků získaných v dizertační práci jsou následující:

1. Pro komplexní posouzení účinnosti boje proti malwaru v kritických segmentech informační sféry byly vyvinuty algoritmy, které se od známých metod řešení obdobných problémů liší tím, že integrace jednotlivých indikátorů se provádí na základě zohlednění jejich vlivu. o cílové funkci - míra prevence poškození informační sféry z narušení její bezpečnosti.

2. Pro hodnocení jednotlivých indikátorů antimalwarových technologií je navržen metodický přístup ke kombinaci simulace a analytického modelování, který na rozdíl od analogů umožňuje řídit míru detailu studovaných procesů.

3. Byla navržena nová řešení pro konstrukci matematických modelů pro boj proti malwaru, založených na použití podobnosti soukromých indikátorů technologií používaných k boji proti klasické reprezentaci náhodných veličin.

Praktická hodnota výzkumu spočívá ve vývoji efektivního systému podpory rozhodování pro hodnocení technologií používaných k boji proti malwaru v kritických segmentech informační sféry, který plní následující funkce:

Analýza a zobecnění jednotlivých indikátorů boje proti malwaru pro různé praktické možnosti používaných protiakčních technologií;

Konstrukce analytických schémat pro antimalwarové technologie, které jsou vhodné pro praktické pochopení;

Porovnání ukazatelů účinnosti různých antimalwarových technologií.

Výsledky teoretického a experimentálního výzkumu lze použít k řešení následujících vědeckých a aplikovaných problémů:

Odůvodnění nových přístupů k organizaci boje proti malwaru v kritických segmentech informační sféry;

Analýza existujících technologií pro boj s malwarem během jejich používání.

Získané výsledky lze využít v přednáškových kurzech a výukových materiálech na vysokých školách při studiu základů informační bezpečnosti i při rekvalifikaci pracovníků odpovědných za bezpečnost kritických segmentů informační sféry.

K obhajobě se předkládají tato hlavní ustanovení disertační práce:

1. Vyjádření a výsledky řešení problému syntézy komplexního ukazatele účinnosti boje proti malwaru v kritických segmentech informační sféry na základě sestavení optimální struktury privátních ukazatelů a jeho aplikace pro hodnocení účinnosti technologií používaných k boji proti malwaru .

2. Metodický přístup ke kombinaci simulace a analytického modelování pro hodnocení specifických indikátorů antimalwarových technologií.

Realizace výsledků práce. Výsledky disertační práce jsou implementovány v:

Vojenský institut radioelektroniky Ministerstva obrany Ruské federace;

Voroněžský institut Ministerstva vnitra Ruské federace;

Hlavní odbor pro vnitřní záležitosti Voroněžské oblasti;

Odbor vnitřních věcí Tambovské oblasti.

Realizace výsledků je potvrzena příslušnými zákony.

Schválení práce. Hlavní metodologické a praktické výsledky výzkumu byly prezentovány na následujících konferencích:

Hlavní metodologické a praktické výsledky výzkumu byly prezentovány na následujících konferencích:

1. Všeruská vědecká a praktická konference „Moderní problémy boje se zločinem“ - Voroněž, 2002 /48/.

2. Meziregionální vědecká a praktická konference „Informace a bezpečnost“ - Voroněž, 2002 /56/.

3. IV Všeruská vědecká a praktická konference „Bezpečnost, bezpečnost a komunikace“ - Voroněž, 2003 /49/.

4. Celoruská vědecká a praktická konference „Moderní problémy boje se zločinem“ - Voroněž, 2005 /57/.

V pracích publikovaných ve spoluautorství žadatel osobně navrhl: v /28/ - klasifikovat počítačové viry s přihlédnutím k jejich komplexnímu projevu vlastností asociativnosti, replikativnosti a izomorfismu; in /29/ - ukázka využití různých vlastností počítačových virů útočníky při realizaci etap obecné strategie neoprávněného přístupu k informacím v počítačových systémech; v /30/ považovat jejich aktivitu a schopnost přežití za hlavní klasifikační charakteristiky vlastností škodlivých programů; v /35/ - systemizace okolností, které určují nutnost utajovat jednání orgánů činných v trestním řízení; v /48/ - identifikovat protiprávní jednání v oblasti počítačových informací pomocí dvouúrovňového systému, jehož první úroveň zajišťuje identifikaci skutečnosti protiprávního jednání a druhá - stopy takových vlivů; in /49/ - identifikovat skutečnosti nezákonného ovlivňování informací v počítačových sítích pomocí sémantického řízení informačních parametrů výpočetních procesů; v /50/ - jako základní princip pro identifikaci počítačových trestných činů princip hierarchického popisu strategií neoprávněného přístupu k informacím v počítačových systémech; in /53/ - využívat distribuované technologie ochrany informací jako zdroj forenzně významných informací při vyšetřování počítačové kriminality; in /54/ - považovat přítomnost úplného souboru identifikačních znaků tohoto typu protiprávního jednání za dominantní faktor při zvyšování míry odhalení počítačové kriminality; v /56/ - považovat metodiku hodnocení bezpečnosti informačních a telekomunikačních systémů před ohrožením jejich informační bezpečnosti za postup pro utváření hierarchické struktury ukazatelů, za příklad funkčního informačního modelu považovat činnost režimu speciálních sil služba při poskytování úřední dokumentace zaměstnancům; v /57/ - vytvořit komplexní ukazatel pro hodnocení účinnosti boje proti malwaru na základě hierarchického strukturování soukromých ukazatelů; v /67/ - využít funkční popis informačních procesů jako nutnou etapu jejich formalizace.

Struktura a rozsah práce. Disertační práce je prezentována na 164 stranách a skládá se z úvodu, čtyř kapitol, závěru, bibliografie použité literatury a přílohy, obsahuje 51 obrázků a 19 tabulek.

Podobné disertační práce v oboru "Metody a systémy informační bezpečnosti, informační bezpečnost", 13.05.19 kód VAK

• Matematický model boje proti neoprávněnému přístupu k informačním a telekomunikačním systémům pomocí různých typů prostředků informační bezpečnosti při minimalizaci rozptylování výpočetních zdrojů 2002, kandidát technických věd Kočedykov, Sergej Sergejevič

• Modelování a optimalizace informačních procesů v teritoriálních segmentech jednotného informačního a telekomunikačního systému orgánů vnitřních věcí v kontextu boje proti hrozbám informační bezpečnosti 2006, kandidátka technických věd Čagina, Ludmila Vladimirovna

• Modelování škodlivých dopadů na chráněné informační systémy za účelem identifikace protiprávního jednání v oblasti počítačových informací 2005, kandidát technických věd Tyunyakin, Roman Nikolaevič

• Rozpoznávání malwaru na základě skrytých Markovových modelů 2012, kandidát technických věd Kozachok, Alexander Vasilievich

• Matematické modely pro hodnocení efektivity soukromých bezpečnostních složek při poskytování služeb v oblasti technické ochrany informací 2005, kandidát technických věd Fedorov, Ivan Semenovič

Závěr disertační práce na téma „Metody a systémy informační bezpečnosti, informační bezpečnost“, Sushkov, Pavel Feliksovich

4.4. závěry

1. Účinnost boje proti malwaru v kritických segmentech informační sféry je vhodné posoudit na základě analýzy různých možností použití protiopatření v souladu s plánem výpočtových experimentů.

2. Použití metod vyvinutých v dizertační práci pro hodnocení účinnosti boje proti malwaru v kritických segmentech informační sféry nám umožňuje snížit rozsah používaných matematických modelů o 50 %.

3. Charakteristiky přesnosti hierarchické struktury indikátorů navržené v dizertační práci jsou díky použití pravděpodobnostní škály minimálně o dva řády vyšší než charakteristiky přesnosti známých integrovaných struktur indikátorů.

4. V dizertační práci vyvinutá metoda hodnocení účinnosti proti malwaru v kritických segmentech informační sféry může být považována za univerzální metodu pro hodnocení bezpečnosti informačních objektů.

Úroveň 5

Účelem ochrany informací je předcházet škodám z narušení bezpečnosti informací

Úroveň 4

Úroveň 3

Úroveň 2

Možnosti, jak zabránit porušení důvěrnosti (úniku) informací

Možnosti prevence narušení integrity infoormacinu

Možnosti ochrany informací před únikem v důsledku bočního elektromagnetického záření a rušení

Možnosti, jak zabránit narušení přístupnosti (blokování) informací

Příležitosti pro ochranu informací před neoprávněným přístupem

Možnosti ochrany řečových informací (před únikem přes akustický kanál)

Příležitosti předcházet podmínkám příznivým pro vznik hrozeb

Příležitosti, jak předcházet vzniku hrozeb NSD 1

Možnosti prevence vzniku hrozeb úniku informací fyzickými poli

Příležitosti pro zjištěné zdroje hrozeb

Woam< южк» ста по закрытию доступа в обход системы защиты и и форма-цкн

Příležitosti pro neutrální a negativní hrozby NSD X X

Příležitosti pro neutralizaci hrozeb úniku informací přes fyzická pole X

Příležitosti pro detekci a dopad hrozeb NSD

Možnosti odhalování dopadů hrozeb úniku informací prostřednictvím kanálů PEMIN

Možnosti detekce a dopadu hrozeb úniku informací přes akustický kanál X

Možnosti obnovy informací po vystavení hrozbám NSD

BOiMG&HdCTtt o obnově informací po vystavení hrozbám úniku informací prostřednictvím kanálů ghemim

Příležitosti obnoveny!! yu informace po vystavení hrozbám úniku informací do akustického kanálu

Možná*

Úroveň 1

Možná Možná

Směrnice pro omezení přístupu k informačním zdrojům

ITKS ITKS

Možnosti skrytí záření a rušení před informačními kanály (fyzikální pole)

Možná

STA o dezinformacích (imitace záření a rušení)

Možnosti kryptografické transformace informací

Možná

Směrnice pro monitorovací prvky (stav prvků) TSOI a ITKS

Je možné registrovat informace o fungování TSIOI z pohledu RF

Příležitosti pro včasnou likvidaci utracených a nevyužitých informací

Možnosti signalizace projevů a hrozeb protiprávního jednání

Možnosti signalizace projevů hrozeb úniku informací prostřednictvím kanálů PEMIN

Možnosti signalizace projevů hrozeb úniku informací akustickými kanály pro reakci na projevy hrozeb (defusing hrozeb)

Příležitosti pro angličtinu projevů a hrozeb NSD

Na projevy hrozeb je možné reagovat (neutralizovat hrozby) prostřednictvím akustických kanálů

Rýže. 4.3.2. Struktura ukazatelů heterogenních technických systémů a prostředků informační bezpečnosti informačních a telekomunikačních systémů

ZÁVĚR

Hlavní vědecké výsledky získané v dizertační práci jsou následující:

1. Metoda zobecněného hodnocení účinnosti systému boje proti malwaru v kritických segmentech informační sféry je teoreticky zdůvodněna a prakticky implementována na základě strukturování jednotlivých indikátorů protiopatření.

2. Byla vyvinuta metoda optimalizace struktury soukromých indikátorů pro boj s malwarem. V souladu s ním se navrhuje:

Prezentovat soubor indikátorů protiopatření ve formě hierarchické struktury s důsledným zobecněním vlastností protiopatření;

Úrovně hierarchické struktury jsou prezentovány ve formě souborů indikátorů odpovídajících hlavním třídám schopností protiopatření k zajištění bezpečnosti počítačových sítí, které tvoří materiální základ informační sféry;

Jako nástroj pro studium účinnosti boje proti malwaru používejte simulační a analytické modely, které popisují procesy fungování protiopatření.

3. Pro posouzení různých možností vybavení počítačových sítí antivirovými nástroji je vypracována metodika založená na principech teorie výpočtových experimentů s využitím matematických modelů vypracovaných v dizertační práci.

V dizertační práci byly získány tyto nové praktické výsledky:

1. Výzkum prováděný za použití vyvinutých matematických modelů pro boj proti malwaru v kritických segmentech informační sféry dává důvody k tvrzení, že:

Využití metod vyvinutých v dizertační práci pro hodnocení protiopatření malwaru v kritických segmentech informační sféry nám umožňuje snížit rozsah používaných matematických modelů o 50 %.

Charakteristiky přesnosti hierarchické struktury ukazatelů navržené v dizertační práci jsou díky použití pravděpodobnostní škály minimálně o dva řády vyšší než charakteristiky přesnosti známých integrovaných struktur ukazatelů.

Praktický význam těchto výsledků spočívá v tom, že umožňují kvantifikovat proveditelnost provedení opatření pro boj s malwarem v kritických segmentech informační sféry.

2. Vyvinuté metody, modely a algoritmy společně představují metodickou podporu pro řešení praktického problému hodnocení účinnosti boje proti malwaru v kritických segmentech informační sféry. Lze jej použít k řešení podobných problémů při posuzování bezpečnosti informačních objektů od podobných hrozeb pro jejich informační bezpečnost.

Seznam odkazů pro výzkum disertační práce Kandidát technických věd Sushkov, Pavel Feliksovich, 2005

1. Telekomunikace. Svět a Rusko. Stav a vývojové trendy / Kleshchev N.T., Fedulov A.A., Simonov V.M., Borisov Yu.A., Osenmuk M.P., Selivanov S.A. M.: Rozhlas a komunikace, 1999. - 480 s.

2. Chomjakov N.N., Chomjakov D.N. Analýza bezpečnosti jaderné elektrárny při teroristických útocích. // Bezpečnostní systémy. 2002. - č. 2(44). - str. 74-76.

3. Moshkov G.Yu. Zajištění bezpečnosti dopravních zařízení je naší prioritou. // Bezpečnostní systémy. - 2003. - č. 6(48). - S. 8-9.

4. Agapov A.N. Jaderná a radiační bezpečnost. Havarijní připravenost. // Bezpečnostní systémy. 2003. - č. 2(50). - S. 8-10.

5. Doktrína informační bezpečnosti Ruské federace // Rossijskaja gazeta ze dne 28. září 2000.

6. Gerasimenko V.A. Ochrana informací v systémech automatizovaného zpracování dat: Ve 2 knihách: Kniha. 1. M.: Energoatomizdat, 1994. - 400 s.

7. Gerasimenko V.A. Ochrana informací v systémech automatizovaného zpracování dat: Ve 2 knihách: Kniha. 2. M.: Energoatomizdat, 1994. - 176

8. Gerasimenko V.A., Malyuk A.A. Základy informační bezpečnosti: Učebnice pro vysoké školy Ministerstva všeobecného a odborného vzdělávání Ruské federace M.: MEPhI, 1997. - 538 s.

9. Základy informační bezpečnosti: Učebnice pro vysoké školy Ministerstva vnitra Ruska / Ed. Minaeva, V.A. a Skryl S.V. - Voroněž: Voroněžský institut Ministerstva vnitra Ruska, 2001. - 464 s.

10. Ščerbakov A.A. Destruktivní softwarové vlivy. M.: Nakladatelství "Edel", 1993. 64 s.

11. Mukhin V.I. Informační a softwarové zbraně. Destruktivní softwarové vlivy. // Vědecké a metodické materiály. M.: Vojenská akademie strategických raketových sil pojmenovaná po Petru Velikém, 1998.-44 s.

12. Skryl S.V. Klasifikace softwaru pro krádeže a zkreslování informací v automatizovaných informačních systémech // Špičkové technologie v technologii, medicíně a vzdělávání: Meziuniverzitní sbírka. vědecký tr., Část 2. Voroněž: VSTU, 1997. - S. 131-137.

13. Počítačové sítě. Principy, technologie, protokoly: Učebnice pro vysoké školy. / V.G. Oliver, N.A. Olifer SPb.: Peter, 2003. - 864 s.

14. Syrkov B.Yu. Počítačový systém očima hackera // Technologie a komunikace. -1998. č. 6. S. 98-100

15. Bezrukov N.N. Úvod do počítačové virologie. Obecné principy fungování, klasifikace a katalog nejběžnějších virů v MS-DOS. Kyjev, 1989. - 196 s.

16. Bezrukov N.N. Počítačová virologie: Referenční příručka. - Kyjev, 1991.

17. Bezrukov N.N. Počítačové viry. - M., 1991. - 132 s.

18. Kaspersky E.V. Počítačové viry v MS-DOS. M.: Nakladatelství Edel, 1992. - 120 s.

19. Kaspersky E.V. Počítačové viry, co jsou a jak s nimi bojovat. M.: "SK Press", 1998. - 288 s.

20. Boje F., Johnston P., Kratz M. Počítačový virus: problémy a předpověď. -M.: Mir, 1993. 175 s.

21. Guliev N.A. Počítačové viry, pohled zevnitř. M.: DMK, 1998.-304 s.

22. Technologie pro vývoj malwaru založeného na počítačových virech // NAPŘ. Gennadieva, K.A. Razinkin, Yu.M. Safonov, P.F. Sushkov, R.N. Tyunyakin // Informace a bezpečnost. Vydání 1 - Voroněž: VSTU, 2002. - s. 79-85.

23. Virologické typování škodlivých programů // JI.B. Čagina, K.S. Skryl, P.F. Sushkov // Science of production, 2005. - Číslo 6. - s. 12-17.

24. Minajev V.A., Skryl S.V. Počítačové viry jako systémové zlo. // Bezpečnostní systémy SB-2002: Materiály XI. vědeckotechnické konference Mezinárodního fóra informatizace - M.: GPS Academy, 2002. - S. 18-24.

25. Systémy a sítě přenosu dat: Učebnice. / M.V. Garanin, V.I. Zhuravlev, S.V. Kunegin M.: Rádio a komunikace, 2001. - 336 s.

26. Telekomunikační systémy a sítě: Učebnice Ve 3 dílech. 1. díl Moderní technologie / B.I. Kruk, V.N. Popantonopoulo, V.P. Shuvalov - M.: Hotline - Telecom, 2003. - 647 s.

27. Ochrana informací v počítačových systémech a sítích. / Romanets Yu.V., Timofeev P.A., Shangin V.F. M.: Rozhlas a komunikace, 2001. - 376 s.

28. Organizační a právní aspekty omezování přístupu k informacím v činnosti orgánů vnitřních záležitostí / Asyaev P.I., Pozhilykh V.A., Sushkov P.F., Belousova I.A., Potanina I.V., Razinkin K.A. // Informace a bezpečnost. - Číslo 1. Voroněž: VSTU, 2002. - S. 43-47.

29. Kaspersky K. Techniky síťových útoků. Techniky protiakce. M.: Solon-R, 2001.-397 s.

30. Serdyuk V.A. Slibné technologie pro odhalování informačních útoků. // Bezpečnostní systémy. 2002. - č. 5(47). - str. 96-97.

31. Programování algoritmů informační bezpečnosti: Učebnice. / Domashev A.V. Gruntovič M.M., Popov V.O., Pravikov D.I., Prokofjev I.V., Shcherbakov A.Yu. M.: Znalosti, 2002. - 416 s.

32. Grusho A.A., Timonina E.E. Základy informační bezpečnosti. M.: Yachtsman, 1996.-192 s.

33. Bezpečnost resortních informačních a telekomunikačních systémů. / Getmantsev A.A., Lipatnikov V.A., Plotnikov A.M., Sapaev E.G. VAS, 1997. 200 s.

34. Skryl S.V. Modelování a optimalizace fungování automatizovaných kontrolních systémů orgánů vnitřních záležitostí v kontextu boje proti malwaru: Abstrakt dizertační práce Dr. tech. Sciences M.: Akademie státní požární služby Ministerstva vnitra Ruska, 2000. - 48 s.

35. Antivirové programy Joel T. Patz / PC Magazine / ruské vydání, 1996, č. 3 (46), s. 70-85

36. Inteligentní technologie antiviru Doctor Web. / JSC "Dialognauka". // Bezpečnostní systémy. 2002. - č. 2(44). - S. 84-85.

37. Antimonov S.G. Intelektuální konfrontace v první linii Virus-antivirus. // Informace a bezpečnost: Materiály meziregionální vědecké a praktické práce. conf. Informace a bezpečnost. - Číslo 2. - Voroněž: VSTU, 2002. - S. 39-46.

38. Vorobjov V.F., Gerasimenko V.G., Potanin V.E., Skryl S.V. Návrh prostředků pro traceologickou identifikaci počítačových zločinů. Voroněž: Voroněžský institut Ministerstva vnitra Ruska, 1999. - 136 s.

39. Stopy počítačových zločinů / Voynalovich V.Yu., Zavgorod-niy M.G., Skryl S.V., Sumin V.I. // Abstrakty zpráv z mezinárodní konference „Informatizace systémů prosazování práva“, 2. část. M.: Akademie managementu Ministerstva vnitra Ruska, 1997. s. 53-55.

40. Metodika provádění primárních vyšetřovacích úkonů při vyšetřování trestných činů v oblasti špičkových technologií. / Sushkov P.F., Kochedykov S.S., Kiselev V.V., Artemov A.A. Bulletin VI Ministerstva vnitra Ruska 2(9)" 2001 - Voroněž: VI Ministerstvo vnitra Ruska 2001. - S. 152-155.

41. Zvýšení míry odhalení počítačových zločinů // Bogachev S.Yu., A.N. Obukhov, P.F. Sushkov // Informace a bezpečnost. sv. 2. - Voroněž: VSTU, 2004. - S. 114 - 115.

42. Počítačové a technické zkoumání protiprávního jednání. // Sushkov P.F. // Bulletin Voroněžského institutu Ministerstva vnitra Ruska. T. 4(19). -2004.-№4(19) - S. 52-55.

43. Mamikonov A.G., Kulba V.V., Shchelkov A.B. Spolehlivost, ochrana a zálohování informací v automatizovaných řídicích systémech. M.: Energoatomizdat, 1986. - 304 s.

44. Sokolov A.V., Shangin V.F. Ochrana informací v distribuovaných podnikových systémech. M.: DMK Press, 2002. - 656 s.

45. Khasin E.V. Integrovaný přístup k monitorování informačních a výpočetních systémů. // Vědecké zasedání MEPhI 2002: Materiály IX. Všeruské vědecké a praktické konference. conf. - M.: MEPhI, 2002. - S. 110-111.

46. ​​​​Buslenko N.P. Modelování komplexních systémů / N.P. Buslenko. - M.: Nauka, 1978.-400 s.

47. Sovetov B.Ya. Modelování systémů: Učebnice pro vysoké školy specializace. “Automatizované řídicí systémy” / B.Ya. Sovetov, S.A. Jakovlev. - M.: Vyšší škola, 1985. - 271 s.

48. Iglehart D.L. Regenerativní modelování frontových sítí: Per. z angličtiny / D.L. Iglehart, D.S. Shedler. M.: Rozhlas a komunikace, 1984. - 136 s.

49. Buslenko V.N. Automatizace simulačního modelování komplexních systémů / V.N. Buslenko. - M.: Nauka, 1977. - 239 s.

50. Tarakanov K.V. Analytické metody pro studium systémů / K.V. Tarakanov, L.A. Ovcharov, A.N. Tyryškin. - M.: Sovětský rozhlas, 1974. 240 s.

51. Vilkas E.J., Mayminas E.Z. Řešení: teorie, informace, modelování. M.: Rozhlas a komunikace, 1981. - 328 s. str. 91-96.

52. Principy strukturovaného modelování procesů pro zajištění bezpečnosti účelových informačních systémů. / P.I. Asjajev, V.N. Aseev, A.R. Mozhaitov, V.B. Ščerbakov, P.F. Sushkov // Radiotechnika (časopis v časopise), 2002, č. 11.

53. Tatg U. Teorie grafů: Přel. z angličtiny M.: Mir, 1988. - 424 s.

54. Ventzel E.S. Teorie pravděpodobnosti. M.: Nakladatelství fyzikální a matematické literatury, 1958. - 464 s.

55. Sbírka vědeckých programů ve Fortranu. sv. 1. Statistika. New York, 1970. / Přel. z angličtiny M.: "Statistika", 1974. - 316 s.

56. Zaryaev A.V. Školení specialistů na informační bezpečnost: modely řízení: Monografie M.: „Rádio a komunikace“, 2003. - 210 s.

57. Kini P.JI., Raiffa X. Rozhodování podle více kritérií preference a substituce. M.: Rozhlas a komunikace, 1981. - 560 s.

58. Larichev O.I. Věda a umění rozhodování. M.: Nauka, 1979.-200 s.

59. Jakovlev S.A. Problémy plánování simulačních experimentů při návrhu informačních systémů. // Automatizované systémy pro zpracování a správu dat. L.: 1986. - 254 s.

60. Inteligentní technologie antiviru Doctor Web. / JSC "Dia-lognauka". // Bezpečnostní systémy. 2002. - č. 2(44). - S. 84-85.

61. Encyklopedie počítačových virů. / ANO. Kozlov, A.A. Parandovský, A.K. Parandovsky M.: „Solon-R“, 2001. - 457 s.

62. Antivirové programy Joel T. Patz / PC Magazine / ruské vydání, 1996, č. 3 (46), s. 70-85.

63. Certifikační systém pro nástroje informační bezpečnosti podle požadavků informační bezpečnosti č. ROSS RU.OOI.OIBHOO. Státní registr certifikovaných nástrojů informační bezpečnosti. Oficiální webové stránky Státní technické komise Ruska, 2004.

64. Skryl S.V. Modelování a optimalizace fungování automatizovaných kontrolních systémů orgánů vnitřních záležitostí v kontextu boje proti malwaru: Abstrakt dizertační práce Dr. tech. Sciences M.: Akademie státní požární služby Ministerstva vnitra Ruska, 2000. - 48 s.

65. Hodnocení bezpečnosti informací v informačních a telekomunikačních systémech. / Minaev V.A., Skryl S.V., Potanin V.E., Dmitriev Yu.V. // Ekonomika a výroba. 2001. - č. 4. - str. 27-29.

66. Ventzel E.S. Operační výzkum M.: Sovětský rozhlas, 1972 - 552 s.

67. Zadeh J1.A. Pojem jazykové proměnné a její aplikace na aproximační rozhodování. M.: Mir, 1976. - 168 s.

68. Pospelov D.A. Logicko-lingvistické modely v řídicích systémech. M.: Energie, 1981.-231 s.

69. Pospelov D.A. Situační management: teorie a praxe. -M.: Nauka, 1986.-284 s.

70. Raifa G. Rozhodovací analýza (úvod do problému volby za podmínek nejistoty). M.: Nauka, 1977. - 408 s.

71. Rozhodovací modely založené na lingvistických proměnných / A.N. Borisov, A.V. Aleksev, O.A. Krumberg a kol. Riga: Zinatne, 1982. - 256 s.

72. Kofman A. Úvod do teorie fuzzy množin. M.: Rozhlas a komunikace, 1982. - 432 s.

73. Fuzzy množiny v modelech řízení a umělé inteligence. / Ed. ANO. Pospelov. M.: Nauka, 1986. - 312 s.

74. Akty realizace výsledků výzkumu

75. Zástupce vedoucího oddělení „K“ Ústředního ředitelství vnitřních věcí, policejní podplukovník1. Členové komise: čl. detektiv oddělení „K“ Ústředního ředitelství vnitřních věcí, policejní kapitán, detektiv útvaru „K“ Ústředního ředitelství vnitřních věcí, policejní poručík1. Sokolovský I.V.1. Povalukhin A.A.1. Razdymalin R.S.41. Schválil jsem

76. Náměstek Vedoucí odboru vnitřních věcí USTM Tambovské oblasti, policejní podplukovník1. Členové komise:1. B.J.I. Vorotnikov

77. Vedoucí oddělení „K“ ministerstva vnitra USTM Tambovské oblasti, major policie

78. Vyšší detektivní důstojník odboru vnitřních věcí odboru vnitřních věcí USTM Tambovské oblasti, major policie1. R.V. Belevitin1. A.V. Bogdanov

Vezměte prosím na vědomí, že výše uvedené vědecké texty jsou zveřejněny pouze pro informační účely a byly získány pomocí rozpoznávání textu původní disertační práce (OCR). Proto mohou obsahovat chyby spojené s nedokonalými rozpoznávacími algoritmy. V souborech PDF disertačních prací a abstraktů, které dodáváme, takové chyby nejsou.