A prevencia – zamedzenie napadnutia (úpravy) súborov alebo operačného systému škodlivým softvérom.

Metódy ochrany proti vírusom[ | ]

Na ochranu pred vírusmi sa používajú tri skupiny metód:

1. Metódy založené na analýza obsahu súboru(údajové súbory aj súbory s príkazmi). Táto skupina zahŕňa skenovanie vírusových podpisov, ako aj kontrolu integrity a skenovanie podozrivých príkazov.
2. Metódy založené na sledovanie správania programu pri ich vykonávaní. Tieto metódy pozostávajú z logovania všetkých udalostí, ktoré ohrozujú bezpečnosť systému a vyskytujú sa buď pri samotnom vykonávaní testovacieho objektu alebo pri jeho softvérovej emulácii.
3. Metódy úprava pracovných postupov so súbormi a programami. Tieto metódy sú administratívne bezpečnostné opatrenia.

Metóda skenovania podpisov(analýza podpisu, metóda podpisu) je založená na vyhľadávaní súborov na jedinečnú sekvenciu bajtov - podpisov, charakteristické pre konkrétny vírus. Pre každý novoobjavený vírus vykonajú špecialisti antivírusového laboratória analýzu, na základe ktorej sa určí jeho signatúra. Výsledný vírusový fragment je umiestnený do špeciálnej databázy vírusových signatúr, s ktorou antivírusový program pracuje. Výhodou tejto metódy je relatívne nízky podiel falošných poplachov a hlavnou nevýhodou je zásadná nemožnosť detekcie nového vírusu v systéme, pre ktorý nie je v databáze antivírusového programu signatúra, preto je včasná aktualizácia databázy signatúr. požadovaný.

Metóda kontroly integrity vychádza zo skutočnosti, že každá neočakávaná a bezdôvodná zmena údajov na disku je podozrivou udalosťou, ktorá si vyžaduje osobitnú pozornosť antivírusového systému. Vírus nevyhnutne zanecháva dôkazy o svojej prítomnosti (zmeny v údajoch existujúcich (najmä systémových alebo spustiteľných) súborov, výskyt nových spustiteľných súborov atď.). Skutočnosť zmeny údajov - porušenie integrity- sa ľahko zistí porovnaním kontrolného súčtu (výboru), vypočítaného vopred pre počiatočný stav testovaného objektu, a kontrolného súčtu (výboru) aktuálneho stavu testovacieho prípadu. Ak sa nezhodujú, znamená to, že bola narušená integrita a existuje dôvod na vykonanie dodatočnej kontroly, napríklad skenovaním vírusových podpisov. Táto metóda funguje rýchlejšie ako metóda skenovania podpisov, pretože výpočet kontrolných súčtov vyžaduje menej výpočtov ako porovnávanie vírusových fragmentov po bajtoch, navyše vám umožňuje odhaliť stopy aktivity akýchkoľvek vírusov, vrátane neznámych. ktoré ešte nie sú v databáze žiadne podpisy.

Metóda skenovania podozrivých príkazov(heuristické skenovanie, heuristická metóda) je založená na identifikácii určitého počtu podozrivých príkazov a (alebo) znakov podozrivých sekvencií v naskenovanom súbore (napríklad príkaz na formátovanie pevného disku alebo funkcia vstrekovania do spusteného alebo spustiteľného procesu ). Potom sa urobí predpoklad o škodlivej povahe súboru a prijmú sa ďalšie kroky na jeho kontrolu. Táto metóda je rýchla, ale pomerne často nie je schopná odhaliť nové vírusy.

Metóda sledovania správania programu sa zásadne líši od metód kontroly obsahu súborov uvedených vyššie. Táto metóda je založená na analýze správania spustených programov, porovnateľných s prichytením zločinca „za ruku“ na mieste činu. Antivírusové nástroje tohto typu často vyžadujú aktívnu účasť používateľa, ktorý je povolaný k rozhodovaniu v reakcii na početné systémové varovania, z ktorých sa mnohé môžu neskôr ukázať ako falošné poplachy. Frekvencia falošných poplachov (podozrenie na vírus pre neškodný súbor alebo chýbajúci škodlivý súbor) nad určitú hranicu robí túto metódu neúčinnou a používateľ môže prestať reagovať na varovania alebo zvoliť optimistickú stratégiu (povoliť všetky akcie všetkým spusteným programom resp. vypnúť túto antivírusovú funkciu). Pri používaní antivírusových systémov, ktoré analyzujú správanie programov, vždy existuje riziko spustenia vírusových príkazov, ktoré môžu poškodiť chránený počítač alebo sieť. Na odstránenie tohto nedostatku bola neskôr vyvinutá emulačná (simulačná) metóda, ktorá umožňuje spustiť testovaný program v umelo vytvorenom (virtuálnom) prostredí, ktoré sa často nazýva sandbox, bez rizika poškodenia informačného prostredia. Použitie metód na analýzu správania programov ukázalo ich vysokú účinnosť pri odhaľovaní známeho aj neznámeho malvéru.

Falošné antivírusy [ | ]

V roku 2009 sa začalo aktívne šírenie falošných antivírusov [ ] – softvér, ktorý nie je antivírusový (t. j. nemá skutočnú funkčnosť na boj proti malvéru), ale predstiera, že je to tak. V skutočnosti môžu byť falošnými antivírusmi buď programy na oklamanie používateľov a zisk vo forme platieb za „liečenie systému vírusov“, alebo obyčajný škodlivý softvér.

Špeciálne antivírusy[ | ]

V novembri 2014 medzinárodná organizácia pre ľudské práva Amnesty International vydala Detect, antivírusový program určený na detekciu malvéru distribuovaného vládnymi agentúrami na špehovanie občianskych aktivistov a politických oponentov. Antivírus podľa tvorcov vykonáva hlbšiu kontrolu pevného disku ako bežné antivírusy.

Účinnosť antivírusu[ | ]

Analytická spoločnosť Imperva v rámci Hacker Intelligence Initiative zverejnila zaujímavú štúdiu, ktorá poukazuje na nízku účinnosť väčšiny antivírusov v reálnych podmienkach.

Antivírusy podľa výsledkov rôznych syntetických testov vykazujú priemernú účinnosť okolo 97 %, tieto testy sa však vykonávajú na databázach státisícov vzoriek, z ktorých drvivá väčšina (možno okolo 97 %) už nie je zvyknutá. vykonávať útoky.

Otázkou je, nakoľko sú antivírusy účinné proti najaktuálnejším hrozbám. Na zodpovedanie tejto otázky Imperva a študenti z Tel Avivskej univerzity získali 82 vzoriek najnovšieho malvéru z ruských podzemných fór a otestovali ich proti VirusTotal, teda proti 42 antivírusovým motorom. Výsledok bol katastrofálny.

1. Účinnosť antivírusov proti novo skompilovanému malvéru bola nižšia ako 5 %. Je to úplne logický výsledok, keďže tvorcovia vírusov ich vždy testujú oproti databáze VirusTotal.
2. Od objavenia sa vírusu, kým ho začnú rozpoznávať antivírusy, prejdú až štyri týždne. Toto číslo dosahujú „elitné“ antivírusy, zatiaľ čo pri iných antivírusoch môže toto obdobie dosiahnuť až 9-12 mesiacov. Napríklad na začiatku štúdie 9. februára 2012 bola testovaná čerstvá vzorka falošného inštalátora Google Chrome. Po skončení štúdie 17. novembra 2012 ho zachytilo len 23 zo 42 antivírusov.
3. Antivírusy s najvyšším percentom detekcie malvéru majú aj vysoké percento falošných poplachov.
4. Aj keď štúdiu možno len ťažko nazvať objektívnou, pretože vzorka malvéru bola príliš malá, dá sa predpokladať, že antivírusy sú proti novým kybernetickým hrozbám úplne nevhodné.

Klasifikácia antivírusových programov[ | ]

Antivírusové programy sa podľa spúšťania (blokovacích prostriedkov) delia na:

• softvér;
• softvér a hardvér.

Na základe umiestnenia v pamäti RAM sa rozlišujú:

• rezident (začínajú svoju prácu pri spustení operačného systému, sú neustále v pamäti počítača a automaticky skenujú súbory);
• nerezident (spustený na žiadosť používateľa alebo v súlade s harmonogramom určeným pre nich).

Podľa typu (spôsobu) ochrany pred vírusmi sa rozlišujú:

V súlade s regulačným právnym aktom FSTEC Ruska „Požiadavky v oblasti technických predpisov na produkty používané na ochranu informácií, ktoré predstavujú štátne tajomstvo alebo sú klasifikované ako iné informácie s obmedzeným prístupom chránené v súlade s právnymi predpismi Ruskej federácie (požiadavky na prostriedky antivírusovej ochrany)“ (schválené . nariadením FSTEC Ruska zo dňa 20. marca 2012 č. 28) sa rozlišujú tieto typy antivírusovej ochrany:

• typ „A“ - nástroje antivírusovej ochrany (komponenty nástrojov antivírusovej ochrany), určené na centralizovanú správu nástrojov antivírusovej ochrany inštalovaných na komponentoch informačného systému (servery, automatizované pracovné stanice);
• typ „B“ - nástroje antivírusovej ochrany (komponenty nástrojov antivírusovej ochrany) určené na použitie na serveroch informačného systému;
• typ „B“ - nástroje antivírusovej ochrany (komponenty nástrojov antivírusovej ochrany) určené na použitie na automatizovaných pracovných staniciach informačných systémov;
• typ „G“ - nástroje antivírusovej ochrany (komponenty nástrojov antivírusovej ochrany) určené na použitie v autonómnych automatizovaných pracovných staniciach.

Nástroje antivírusovej ochrany typu „A“ sa nepoužívajú v informačných systémoch samostatne a sú určené len na použitie v spojení s nástrojmi antivírusovej ochrany typu „B“ a (alebo) „C“.

Slovo "bot" je skratka pre slovo "robot". Bot je časť kódu, ktorá vykonáva určité funkcie pre svojho vlastníka, ktorý je autorom tohto kódu. Roboty (bot) sú typom malvéru, ktorý je nainštalovaný na tisíckach počítačov. Volá sa počítač, na ktorom je bot nainštalovaný zombie(zombie). Bot dostáva príkazy od svojho majiteľa a núti infikovaný počítač, aby ich vykonal. Takýmito príkazmi môžu byť odosielanie spamu, vírusov alebo vykonávanie útokov. Útočník uprednostňuje vykonávanie takýchto akcií pomocou robotov pred vlastným počítačom, pretože mu to umožňuje vyhnúť sa detekcii a identifikácii.

Volá sa súbor zombie počítačov napadnutých útočníkom, na ktorých sú nainštalované roboty botnet (botnet). Aby vytvorili botnet, hackeri sa nabúrajú do tisícok systémov, pričom škodlivý kód posielajú rôznymi spôsobmi: ako prílohy k e-mailovým správam, cez napadnuté webové stránky, posielaním odkazov na škodlivé stránky ako príloh k e-mailovým správam atď. V prípade úspešnej inštalácie do počítača používateľa škodlivý kód odošle útočníkovi správu, že systém bol napadnutý a je teraz k dispozícii útočníkovi, ktorý ho môže ľubovoľne použiť. Môže napríklad použiť vytvorený botnet na uskutočňovanie silných útokov alebo ho prenajímať spamerom. Navyše väčšina počítačov zahrnutých v botnete sú domáce počítače nič netušiacich používateľov.

Vlastník tohto botnetu ovláda systémy v ňom zahrnuté na diaľku, zvyčajne prostredníctvom protokolu IRC (Internet Relay Chat).

Základné kroky na vytváranie a používanie botnetov sú uvedené nižšie:

1. Hacker používa rôzne metódy na odosielanie škodlivého kódu potenciálnym obetiam, ktorý obsahuje softvér bota.
2. Po úspešnej inštalácii do systému obete, bot nadviaže kontakt s riadiacim serverom botnetu a komunikuje s ním cez IRC alebo špeciálny webový server, v súlade s tým, čo je uvedené v jeho kóde. Potom riadiaci server prevezme kontrolu nad novým robotom.
3. Spamer zaplatí hackerovi za používanie systémov jeho botnetu, hacker odošle príslušné príkazy riadiacemu serveru a riadiaci server zasa inštruuje všetky infikované systémy zahrnuté v botnete, aby posielali spam.

Spameri používajú túto metódu, pretože výrazne zvyšuje pravdepodobnosť, že sa ich správy dostanú k príjemcom, čím sa obídu ich nainštalované spamové filtre, pretože. takéto správy sa nebudú odosielať z jednej adresy, ktorá bude rýchlo zablokovaná alebo pridaná na všetky „čierne listiny“, ale z mnohých skutočných adries vlastníkov napadnutých počítačov.

Na vytvorenie botnetu si jeho budúci majiteľ buď urobí všetko sám, alebo zaplatí hackerom vývoj a distribúciu malvéru na infikovanie systémov, ktoré sa stanú súčasťou jeho botnetu. A potom majiteľa botnetu kontaktujú a zaplatia tí, ktorí vám chcú povedať o svojich nových produktoch, ako aj tí, ktorí potrebujú útočiť na konkurentov, kradnúť osobné údaje alebo heslá používateľov a mnohí ďalší.

Tradičný antivírusový softvér používa podpisy na detekciu škodlivého kódu. Podpisy sú odtlačky prstov škodlivého kódu vytvoreného výrobcom antivírusového softvéru. Podpisom sú fragmenty kódu extrahované zo samotného vírusu. Antivírusový program kontroluje súbory, e-maily a ďalšie údaje, ktoré prechádzajú určitými systémami, a porovnáva ich so svojou databázou vírusových signatúr. Pri zistení zhody antivírusový program vykoná vopred nakonfigurovanú akciu, ktorou môže byť odoslanie infikovaného súboru do karantény, pokus o „vyliečenie“ súboru (odstránenie vírusu), zobrazenie varovného okna pre používateľa a/alebo nahrávanie udalosti v .

Detekcia škodlivého kódu na základe podpisu je účinný spôsob, ako odhaliť malvér, no existujú určité oneskorenia v reakcii na nové hrozby. Po prvom objavení vírusu musí výrobca antivírusu preštudovať vírus, vyvinúť a otestovať nové signatúry, vydať aktualizáciu databázy signatúr a aktualizáciu si musia stiahnuť všetci používatelia. Ak škodlivý kód jednoducho posiela vaše fotografie všetkým vašim priateľom, toto oneskorenie nie je také kritické. Ak je však malvér podobný červu Slammer, poškodenie z takéhoto oneskorenia môže byť katastrofálne.

POZNÁMKA. Červ Slammer sa objavil v roku 2003. Využil zraniteľnosť v Microsoft SQL Server 2000 DBMS, ktorá mu umožnila spôsobiť odmietnutie služby. Podľa niektorých odhadov spôsobil Slammer škody za viac ako 1 miliardu dolárov.

Keďže každý deň vzniká nový malvér, je pre výrobcov antivírusového softvéru ťažké držať krok. Technológia vírusových podpisov vám umožňuje odhaliť vírusy, ktoré už boli identifikované a pre ktoré bol vytvorený podpis. Ale pretože autori vírusov sú tak plodní a mnohé vírusy dokážu zmeniť svoj kód, je dôležité, aby antivírusový softvér mal iné mechanizmy na detekciu škodlivého kódu.

Ďalšou metódou, ktorú používajú takmer všetky antivírusové softvérové ​​produkty, je detekcia škodlivého kódu na základe heuristická analýza (heuristická detekcia). Táto metóda analyzuje celkovú štruktúru škodlivého kódu, vyhodnocuje inštrukcie a algoritmy vykonávané kódom a študuje typy údajov používaných škodlivým programom. Zhromažďuje teda veľké množstvo informácií o časti kódu a vyhodnocuje pravdepodobnosť, že ide o škodlivý kód. Používa akési „počítadlo podozrení“, ktoré sa zvyšuje, keď v ňom antivírusový program nachádza nové potenciálne nebezpečné (podozrivé) vlastnosti. Po dosiahnutí vopred stanovenej hranice sa kód považuje za nebezpečný a antivírusový program spustí príslušné obranné mechanizmy. To umožňuje antivírusovému softvéru rozpoznať neznámy malvér namiesto toho, aby sa spoliehal len na podpisy.

Zvážte nasledujúcu analógiu. Ivan je policajt, ​​pracuje na tom, aby chytil tých zlých a zatvoril ich. Ak sa Ivan chystá použiť metódu podpisu, porovnáva stohy fotografií každého človeka, ktorého vidí na ulici. Keď vidí zápas, rýchlo chytí zlého chlapa a posadí ho do svojho hliadkového auta. Ak sa chystá použiť heuristickú metódu, sleduje podozrivé aktivity. Napríklad, ak vidí muža v lyžiarskej maske stáť pred bankou, posúdi pravdepodobnosť, že ide o lupiča a nie len chladného chlapíka, ktorý žiada od klientov banky drobné.

POZNÁMKA. Bezdiskové pracovné stanice sú aj napriek chýbajúcemu pevnému disku a plnohodnotnému operačnému systému zraniteľné voči vírusom. Môžu byť infikované vírusmi, ktoré sa sťahujú a žijú v pamäti. Takéto systémy je možné reštartovať na diaľku (remote reboot), aby sa vyčistila pamäť a vrátila sa do pôvodného stavu, t.j. vírus žije krátko v takomto systéme.

Niektoré antivírusové produkty vytvárajú umelé prostredie nazývané virtuálny stroj alebo karanténa a umožňujú spustenie časti podozrivého kódu v chránenom prostredí. To dáva antivírusovému programu možnosť vidieť kód v akcii, čo poskytuje oveľa viac informácií na rozhodnutie, či je škodlivý alebo nie.

POZNÁMKA. Virtuálny stroj alebo sandbox sa niekedy nazýva emulačný pufor(emulačný pufor). Je to rovnaké ako chránený segment pamäte, takže aj keď sa kód ukáže ako škodlivý, systém zostane v bezpečí.

Analýza informácií o časti kódu sa nazýva statická analýza , ak spustíte kúsok kódu na virtuálnom počítači, nazýva sa to dynamická analýza . Obe tieto metódy sa považujú za heuristické metódy detekcie.

Očkovanie.Ďalší prístup, ktorý niektoré antivírusové programy použili, je tzv očkovanie(imunizácia). Produkty s touto funkciou vykonali zmeny v súboroch a oblastiach disku, aby vyzerali, akoby už boli infikované. V takom prípade sa vírus môže rozhodnúť, že súbor (disk) je už infikovaný a nevykoná žiadne ďalšie zmeny a presunie sa na ďalší súbor.

Očkovací program je spravidla zameraný na konkrétny vírus, pretože každý z nich inak kontroluje skutočnosť infekcie a hľadá v súbore (na disku) iné údaje (podpisy). Počet vírusov a iného škodlivého softvéru však neustále rastie a s ním aj počet súborov, ktoré je potrebné chrániť, takže tento prístup momentálne vo väčšine prípadov nie je praktický a výrobcovia antivírusov ho už nepoužívajú.

V súčasnosti ani pri všetkých týchto sofistikovaných a účinných prístupoch neexistuje absolútna záruka účinnosti antivírusových nástrojov, pretože autori vírusov sú veľmi prefíkaní. Je to neustála hra na mačku a myš, ktorá pokračuje každý deň. Antivírusový priemysel nachádza nový spôsob detekcie škodlivého softvéru a budúci týždeň autori vírusov nájdu spôsob, ako túto novú metódu obísť. To núti výrobcov antivírusov neustále zvyšovať inteligenciu svojich produktov a používatelia si musia každý rok kupovať ich nové verzie.

Ďalšou etapou vývoja antivírusového softvéru je tzv behaviorálne blokátory (blokátor správania). Antivírusový softvér, ktorý vykonáva blokovanie správania, v podstate umožňuje spustenie podozrivého kódu na nechránenom operačnom systéme a monitoruje jeho interakciu s operačným systémom, pričom dáva pozor na podozrivú aktivitu. Konkrétne, antivírusový softvér monitoruje nasledujúce typy aktivít:

• Zápis do súborov, ktoré sa automaticky načítajú pri štarte systému alebo do sekcií spúšťania v systémovom registri
• Otváranie, mazanie alebo zmena súborov
• Vrátane skriptov v e-mailoch na odoslanie spustiteľného kódu
• Pripojenie k sieťovým prostriedkom alebo zdieľaným priečinkom
• Zmena logiky spustiteľného kódu
• Vytváranie alebo úprava makier a skriptov
• Formátovanie pevného disku alebo zápis do zavádzacieho sektora

Ak antivírusový program zistí niektoré z týchto potenciálne nebezpečných aktivít, môže prinútiť program ukončiť a upozorniť používateľa. Nová generácia behaviorálnych blokátorov v skutočnosti analyzuje postupnosť takýchto akcií predtým, ako rozhodne, že systém je infikovaný (prvá generácia behaviorálnych blokátorov jednoducho spustila jednotlivé akcie, čo viedlo k veľkému počtu falošne pozitívnych výsledkov). Moderný antivírusový softvér dokáže zachytiť vykonávanie nebezpečných častí kódu a zabrániť im v interakcii s inými bežiacimi procesmi. Môžu tiež odhaliť. Niektoré z týchto antivírusových programov umožňujú „vrátiť“ systém do stavu, v ktorom bol pred infekciou, „vymazať“ všetky zmeny vykonané škodlivým kódom.

Zdalo by sa, že behaviorálne blokátory dokážu úplne vyriešiť všetky problémy spojené so škodlivým kódom, no majú jednu nevýhodu, ktorá vyžaduje takéto sledovanie škodlivého kódu v reálnom čase, inak môže byť systém stále infikovaný. Okrem toho neustále monitorovanie vyžaduje veľké množstvo systémových prostriedkov...

POZNÁMKA. Heuristická analýza a blokovanie založené na správaní sa považujú za proaktívne techniky a dokážu odhaliť nový malvér, niekedy nazývaný útoky zero-day. Detekcia malvéru založená na podpisoch nedokáže identifikovať nový malvér.

Väčšina antivírusových programov používa kombináciu všetkých týchto technológií, aby poskytovala najlepšiu možnú ochranu. Vybrané antimalvérové ​​riešenia sú zobrazené na obrázku 9-20.

Obrázok 9-20. Výrobcovia antivírusového softvéru používajú na detekciu škodlivého kódu rôzne metódy

Všetci sme veľmi unavení z e-mailov, ktoré nás žiadajú, aby sme si kúpili niečo, čo nepotrebujeme. Takéto písmená sú tzv nevyžiadaná pošta (spam) sú nevyžiadané e-mailové správy. Spam nielenže odvádza pozornosť svojich príjemcov od ich podnikania, ale spotrebúva značnú šírku pásma siete a môže byť aj zdrojom škodlivého softvéru. Mnoho spoločností používa na svojich e-mailových serveroch filtre nevyžiadanej pošty a používatelia môžu nakonfigurovať pravidlá filtrovania nevyžiadanej pošty vo svojich e-mailových klientoch. Spameri, ale aj autori vírusov však neustále prichádzajú s novými a dômyselnými spôsobmi, ako obísť spamové filtre.

Efektívna detekcia spamu sa stala skutočnou vedou. Jednou z používaných metód je tzv Bayesovské filtrovanie (Bayesovské filtrovanie). Pred mnohými rokmi pán menom Thomas Bayes (matematik) vyvinul efektívny spôsob predpovedania pravdepodobnosti výskytu akýchkoľvek udalostí pomocou matematiky. Bayesov teorém nám umožňuje určiť pravdepodobnosť, že k udalosti došlo len za prítomnosti nepriamych dôkazov (údajov), ktoré môžu byť nepresné. Koncepčne to nie je také ťažké pochopiť. Ak trikrát narazíte hlavou na tehlovú stenu a zakaždým spadnete, môžete dospieť k záveru, že ďalšie pokusy povedú k rovnakým bolestivým výsledkom. Je zaujímavejšie, keď sa táto logika aplikuje na akcie, ktoré obsahujú oveľa viac premenných. Ako napríklad funguje spamový filter, ktorý nepovolí listy od vás s ponukou na kúpu viagry, ale nezabráni doručeniu pošty od vášho známeho, ktorý sa o túto drogu veľmi zaujíma a píše vám správy o jej vlastnostiach a účinkoch na tele? Bayesov filter aplikuje štatistické modelovanie na slová, ktoré tvoria e-mailové správy. Na týchto slovách sa vykonávajú matematické vzorce, aby sa plne porozumelo ich vzájomnému vzťahu. Bayesov filter vykoná frekvenčnú analýzu každého slova a potom vyhodnotí správu ako celok, aby určil, či ide o spam alebo nie.

Tento filter nehľadá len slová „Viagra“, „sex“ atď., ale sleduje, ako často sa tieto slová používajú a v akom poradí, aby určil, či je správa spam. Žiaľ, spameri vedia, ako tieto filtre fungujú, a manipulujú so slovami v predmete a tele správy, aby sa pokúsili oklamať spamový filter. To je dôvod, prečo môžete dostávať spamové správy s preklepmi alebo slovami, ktoré používajú symboly namiesto písmen. Spameri majú veľký záujem o to, aby ste ich správy dostávali, pretože na tom zarábajú veľa peňazí.

Ochrana spoločností pred širokou škálou malvéru si vyžaduje viac než len antivírusový softvér. Rovnako ako v prípade iných komponentov sa vyžaduje implementácia a údržba určitých dodatočných administratívnych, fyzických a technických bezpečnostných opatrení.

Spoločnosť musí mať samostatnú antivírusovú politiku, prípadne problémy s antivírusovou ochranou treba zohľadňovať vo všeobecnej. Musia byť vyvinuté, ktoré definujú typy antivírusového a antispywarového softvéru potrebného na používanie v spoločnosti, ako aj hlavné parametre ich konfigurácie.

V programe by mali byť uvedené informácie o vírusových útokoch, použitých nástrojoch antivírusovej ochrany, ako aj o správaní očakávanom od používateľov. Každý používateľ by mal vedieť, čo má robiť a kam sa obrátiť, ak sa v jeho počítači zistí vírus. Norma musí riešiť všetky problémy súvisiace s akciami používateľa spojenými so škodlivým kódom a musí určovať, čo musí používateľ robiť a čo má zakázané. Norma by mala obsahovať najmä tieto otázky:

• Na každej pracovnej stanici, serveri, komunikátore a smartfóne musí byť nainštalovaný antivírusový softvér.
• Každé z týchto zariadení musí mať spôsob automatickej aktualizácie antivírusových podpisov, ktorý musí byť povolený a nakonfigurovaný na každom zariadení.
• Používateľ by nemal mať možnosť deaktivovať antivírusový softvér.
• Proces odstraňovania vírusov musí byť vypracovaný a naplánovaný vopred a musí byť identifikovaná a určená kontaktná osoba v prípade zistenia škodlivého kódu.
• Všetky externé disky (USB disky atď.) by sa mali skenovať automaticky.
• Záložné súbory musia byť naskenované.
• Antivírusové politiky a postupy by sa mali každoročne prehodnocovať.
• Antivírusový softvér, ktorý používate, musí poskytovať ochranu pred zavádzacími vírusmi.
• Antivírusová kontrola musí byť vykonaná nezávisle na bráne a na každom jednotlivom zariadení.
• Antivírusová kontrola by sa mala spúšťať automaticky podľa plánu. Nemusíte sa spoliehať na to, že používatelia budú skenovať manuálne.
• Kritické systémy musia byť fyzicky chránené tak, aby na nich nebola možná lokálna inštalácia škodlivého softvéru.

Keďže malvér môže spôsobiť miliónové škody (prevádzkové náklady, stratu produktivity), mnohé spoločnosti inštaluje antivírusové riešenia na všetky vstupné body siete. Antivírusový skener môže byť integrovaný do softvéru poštového servera alebo . Takýto antivírusový skener kontroluje všetku prichádzajúcu komunikáciu na prítomnosť škodlivého kódu, aby ju vopred odhalil a zastavil, ešte predtým, ako sa dostane do vnútornej siete. Produkty, ktoré implementujú túto funkcionalitu, môžu kontrolovať prevádzku z SMTP, HTTP, FTP a prípadne iných protokolov. Je však dôležité pochopiť, že takýto produkt monitoruje iba jeden alebo dva protokoly a nie všetku prichádzajúcu komunikáciu. To je jeden z dôvodov, prečo by mal mať každý server a pracovná stanica nainštalovaný aj antivírusový softvér.

V článku 273 Trestného zákona Ruskej federácie pod malvér sa vzťahuje na počítačové programy alebo zmeny existujúcich programov, ktoré „vedome vedú k neoprávnenému zničeniu, blokovaniu, pozmeňovaniu alebo kopírovaniu informácií, k narušeniu prevádzky počítača, počítačového systému alebo ich siete“.

Spoločnosť Microsoft Corporation používa termín malware a definuje ho takto: „malware je skratka pre škodlivý softvér, ktorý sa zvyčajne používa ako bežný termín na označenie akéhokoľvek softvéru, ktorý je špeciálne navrhnutý tak, aby spôsobil poškodenie jednotlivého počítača, servera alebo počítačovej siete, bez ohľadu na či už ide o vírus, spyware atď.“

Škody spôsobené takýmto softvérom môžu zahŕňať poškodenie:

• softvér a hardvér počítača (siete) napadnutého votrelcom;
• Počítačové užívateľské dáta;
• samotnému používateľovi počítača (nepriamo);
• používateľov iných počítačov (nepriamo).

Špecifické škody pre používateľov a (alebo) vlastníkov počítačových systémov a sietí môžu zahŕňať nasledovné:

• únik a (alebo) strata cenných informácií (vrátane finančných informácií);
• abnormálne správanie softvéru nainštalovaného v systéme;
• prudký nárast prichádzajúcej a (alebo) odchádzajúcej prevádzky;
• spomalenie alebo úplné zlyhanie počítačovej siete;
• strata pracovného času zamestnancov organizácie;
• prístup páchateľa k zdrojom podnikovej počítačovej siete;
• riziko, že sa stanete obeťou podvodu.

Medzi príznaky škodlivého softvéru patria:

• skrytie vašej prítomnosti v počítačovom systéme;
• implementácia samoduplikácie, spojenie vášho kódu s inými programami, prenos vášho kódu do predtým neobsadených oblastí pamäte počítača;
• skreslenie kódu iných programov v pamäti RAM počítača;
• ukladanie údajov z pamäte RAM iných procesov v iných oblastiach pamäte počítača;
• skreslenie, blokovanie, nahradenie uložených alebo prenášaných údajov získaných v dôsledku prevádzky iných programov alebo už umiestnených vo vonkajšej pamäti počítača;
• nesprávne informovanie používateľa o akciách údajne vykonaných programom.

Škodlivý program môže mať iba jednu z vyššie uvedených vlastností alebo ich kombináciu. Je zrejmé, že uvedený zoznam nie je úplný.

Na základe prítomnosti materiálnych výhod možno škodlivý softvér (softvér) rozdeliť na:

• neprináša priamy materiálny prospech osobe, ktorá vyvinula (nainštalovala) škodlivý program (vyvinutý na základe chuligánstva, „vtipu“, vandalizmu vrátane náboženských, nacionalistických, politických dôvodov, sebapotvrdenia a túžby potvrdiť si svoju kvalifikáciu);
• prinesenie priameho majetkového prospechu páchateľovi vo forme krádeže dôverných informácií vrátane získania prístupu do bankovo-klientských systémov, získania PIN kódov kreditných kariet a iných osobných údajov používateľa, ako aj získania kontroly nad vzdialenými počítačovými systémami pre účelom distribúcie spamu z mnohých „infikovaných“ počítačov (zombie počítače).

Podľa účelu vývoja možno malvér rozdeliť na:

• Softvér, ktorý bol pôvodne vyvinutý špeciálne na získanie neoprávneného prístupu k informáciám uloženým v počítači s cieľom spôsobiť škodu vlastníkovi informácií a (alebo) vlastníkovi počítača (počítačovej siete);
• Softvér, ktorý nebol pôvodne vyvinutý špeciálne na získanie neoprávneného prístupu k informáciám uloženým v počítači a pôvodne nebol určený na to, aby spôsobil škodu vlastníkovi informácií a (alebo) vlastníkovi počítača (počítačovej siete).

Nedávno došlo k kriminalizácii priemyslu tvorby škodlivého softvéru, čo malo za následok nasledovné:

• krádež dôverných informácií (obchodné tajomstvo, osobné údaje);
• vytváranie zombie sietí („botnetov“) určených na odosielanie spamu, distribuované útoky odmietnutia služby (DDoS útoky) a zavádzanie trójskych proxy serverov;
• šifrovanie používateľských informácií s následným vydieraním a požiadavkami na výkupné;
• útoky na antivírusové produkty;
• takzvaný flushing (trvalé odmietnutie služby - PDoS).

Útoky odmietnutia služby sa v súčasnosti nepoužívajú ani tak ako nástroj na vymáhanie peňazí od obetí, ale ako prostriedok politickej a konkurenčnej vojny. Ak boli predtým DoS útoky nástrojom iba v rukách vydieračských hackerov alebo chuligánov, teraz sa stali rovnakou komoditou ako spam alebo malvér vyrobený na mieru. Reklama na služby DoS útokov sa stala samozrejmosťou a ceny sú už porovnateľné s nákladmi na organizovanie spamových mailov.

Spoločnosti špecializujúce sa na počítačovú a sieťovú bezpečnosť venujú pozornosť novému typu hrozby – takzvanému trvalému odmietnutiu služby (ROoS). Nový typ útoku dostal iný názov – splachovanie. Je potenciálne schopný spôsobiť systému oveľa viac škody ako akýkoľvek iný typ sieťovej zákernej činnosti, pretože je zameraný na deaktiváciu počítačového vybavenia. RooB útoky sú efektívnejšie a lacnejšie ako tradičné typy útokov, pri ktorých sa hacker pokúša nainštalovať malvér do systému obete. Pri flashovaní sú cieľom útoku programy vo flash pamäti VÚB a ovládače zariadení, ktoré pri poškodení narušia chod zariadení a sú potenciálne schopné ich fyzicky zničiť.

Ďalším typom útoku zameraného na odcudzenie dôverných informácií je prípad, keď útočníci zavedú do informačného systému spoločnosti škodlivý program, ktorý môže zablokovať fungovanie systému. V ďalšej fáze napadnutá spoločnosť dostane list od zločincov, ktorí požadujú peniaze za heslo, ktoré im umožní odomknúť počítačový systém spoločnosti. Ďalším podobným spôsobom, ako zarobiť peniaze nelegálne online, je spustenie programov trójskych koní do vášho počítača, ktoré dokážu šifrovať údaje. Dešifrovací kľúč posielajú aj zločinci za určitú peňažnú odmenu.

Medzi osobné údaje používateľa napadnutého počítača, ktoré sú pre útočníka zaujímavé, patria:

• dokumenty a iné užívateľské dáta uložené v pamäti počítača;
• názvy účtov a heslá pre prístup k rôznym sieťovým zdrojom (elektronické peniaze a platobné systémy, internetové aukcie, internetové pagery, e-mail, internetové stránky a fóra, online hry);
• emailové adresy ostatných používateľov, 1P adresy ostatných počítačov v sieti.

Vďaka novým možnostiam internetu a najmä rozšírenému rozšíreniu sociálnych sietí sa čoraz viac ľudí pravidelne obracia na internetové zdroje a stávajú sa obeťami čoraz sofistikovanejších útokov, ktorých účelom je jednak odcudzenie dôverných používateľských dát, jednak „zombie ” svoje počítače za účelom následného využitia ich zdrojov páchateľmi.

Efektívna prevádzka „zombie“ siete je určená tromi komponentmi, z ktorých sa bežne skladá:

• zavádzací program, ktorého úlohou je distribuovať svoj vlastný kód a kód programu bot, ktorý vykonáva hlavnú prácu;
• robotický program, ktorý zhromažďuje a prenáša dôverné informácie, posiela spam, zúčastňuje sa útoku EEoB a iných akcií, ktoré mu pridelil porušovateľ;
• modul kontroly botnetu, ktorý zhromažďuje informácie z programov botov a posiela im aktualizácie a v prípade potreby nové konfiguračné súbory, ktoré „presmerujú“ programy botov.

Príklady antivírusového softvéru nainštalovaného na používateľovi na boj proti malvéru sú:

• nútené zastavenie antivírusového skenera alebo monitora;
• zmena nastavení bezpečnostného systému na uľahčenie implementácie a prevádzky škodlivého programu;
• automatické kliknutie na tlačidlo „Preskočiť“ po tom, čo používateľ dostane varovanie o zistenom malvéri;
• skrytie vašej prítomnosti v systéme (takzvané „rootkity“);
• skomplikovanie antivírusovej analýzy dodatočnou transformáciou škodlivého kódu (šifrovanie, zahmlievanie alebo zahmlievanie, polymorfizmus, balenie).

Až do posledných rokov bola práca antivírusových programov založená výlučne na analýze obsahu kontrolovaného objektu. Zároveň skoršia metóda detekcie vírusov založená na signatúre (tzv. skenovanie) využívala vyhľadávanie pevných sekvencií bajtov, často s určitým posunom od začiatku objektu, obsiahnutých v binárnom kóde škodlivého kódu. program. Heuristická analýza, ktorá sa objavila o niečo neskôr, tiež skontrolovala obsah kontrolovaného objektu, ale bola založená na voľnejšom, pravdepodobnostnom vyhľadávaní bajtových sekvencií charakteristických pre potenciálne škodlivý program. Je zrejmé, že škodlivý program túto ochranu ľahko obíde, ak je každá jeho kópia novou sadou bajtov.

Práve tento problém rieši polymorfizmus a metamorfizmus, ktorého podstatou je, že pri vytváraní svojej ďalšej kópie sa škodlivý program úplne zmení na úrovni množiny bajtov, z ktorej sa skladá. Jeho funkčnosť však zostáva nezmenená.

Samotné šifrovanie a zahmlievanie (zahmlievanie kódu) sú primárne zamerané na sťaženie analýzy programového kódu, no po určitej implementácii sa ukáže, že ide o typy polymorfizmu (napríklad zašifrovanie každej kópie vírusu jedinečným kľúčom ). Zahmlievanie samotné len komplikuje analýzu, ale keď sa používa novým spôsobom v každej kópii malvéru, narúša antivírusovú kontrolu.

Polymorfizmus sa pomerne rozšíril až v ére vírusov, ktoré infikujú súbory. Vysvetľuje to skutočnosť, že písanie polymorfného kódu je veľmi zložitá úloha náročná na zdroje a je opodstatnená iba v prípadoch, keď sa škodlivý program reprodukuje nezávisle: každá jeho nová kópia je viac-menej jedinečný súbor bajtov. Pre väčšinu moderného malvéru, ktorý nemá funkciu samoreplikácie, to nie je relevantné. Polymorfizmus preto v súčasnosti v malvéri nie je veľmi bežný.

Naopak, zahmlievanie, ako aj iné metódy úpravy kódu, ktoré do značnej miery riešia problém skomplikovania jeho heuristickej analýzy, a nie úlohu skomplikovania skenovania, vďaka tejto okolnosti nestrácajú na aktuálnosti.

Na zmenšenie veľkosti súboru so škodlivým programom sa používajú takzvané packery - špeciálne programy, ktoré spracovávajú súbor na princípe archivátora. Vedľajším a výhodným (z hľadiska pôsobenia antivírusových programov) efektom používania packerov je, že antivírusové skenovanie je trochu náročné.

Vysvetľuje to skutočnosť, že pri vývoji novej modifikácie škodlivého programu jeho autor zvyčajne zmení niekoľko riadkov kódu, pričom jeho jadro zostane nedotknuté. V spustiteľnom kóde sa bajty v určitej časti súboru zmenia a ak podpis používaný antivírusovým programom nepozostáva z tejto konkrétnej časti, škodlivý program bude stále detekovaný. Spracovanie programu pomocou baliča tento problém rieši, pretože zmena čo i len jedného bajtu v zdrojovom spustiteľnom kóde má za následok úplne novú množinu bajtov v zbalenom súbore.

Mnoho moderných baličov okrem kompresie zdrojového súboru poskytuje ďalšie funkcie sebaobrany zamerané na sťaženie rozbalenia súboru a jeho analýzy pomocou debuggera.

Malvér (niekedy tiež nazývaný deštruktívne softvérové ​​vplyvy) Je zvykom zahrnúť počítačové vírusy a záložky softvéru. Prvý termín počítačový vírus predstavil americký špecialista F. Cohen v roku 1984. „Klasický“ počítačový vírus je autonómne fungujúci program, ktorý má súčasne tri vlastnosti:

• schopnosť zahrnúť váš kód do tiel iných objektov (súborov a systémových oblastí pamäte počítača);
• následná nezávislá implementácia;
• nezávislá distribúcia v počítačových systémoch.

Počítačové vírusy nevyužívajú sieťové služby na prienik do iných počítačov v sieti. Kópia vírusu sa dostane na vzdialené počítače iba vtedy, ak je infikovaný objekt z nejakého dôvodu mimo kontroly vírusu aktivovaný na inom počítači, napríklad:

• pri infikovaní používateľsky prístupných sieťových jednotiek vírus prenikol do súborov umiestnených na týchto sieťových zdrojoch;
• vírus sa skopíroval na vymeniteľné médium alebo infikované súbory na ňom;
• Používateľ odoslal e-mail s prílohou infikovanou vírusom.

Dôležitým faktom je, že vírusy nemajú prostriedky na to, aby sa šírili za hranice jedného počítača. To sa môže stať iba vtedy, keď je infikované vymeniteľné pamäťové médium (disketa, flash disk) alebo keď používateľ sám prenesie vírusom infikovaný súbor na iný počítač cez sieť.

Spúšťacie vírusy infikovať hlavný zavádzací sektor pevného disku (Master Boot Record - MBR) alebo zavádzací sektor oblasti pevného disku, systémovej diskety alebo zavádzacieho CD (Boot Record - BR), čím sa nahradia zavádzacie a zavádzacie programy operačného systému, ktoré sa v nich nachádzajú s ich kódom. Pôvodný obsah týchto sektorov je uložený v niektorom z voľných sektorov disku alebo priamo v tele vírusu.

Po infikovaní MBR, čo je prvý sektor nulovej hlavy nultého cylindra pevného disku, získa vírus kontrolu ihneď po dokončení procedúry testovania hardvéru (POST), programu BIOS Setup (ak bol vyvolaný napr. používateľ), postupy systému BIOS a jeho rozšírenia. Po získaní kontroly vykoná zavádzací vírus nasledujúce akcie:

• 1) skopírovanie kódu na koniec pamäte RAM počítača, čím sa zníži veľkosť jeho voľnej časti;
• 2) prepísanie niekoľkých prerušení systému BIOS, najmä súvisiacich s prístupom k diskom;
• 3) načítanie skutočného zavádzacieho programu do pamäte RAM počítača, ktorého funkcie zahŕňajú prezeranie tabuľky oblastí pevného disku, určenie aktívnej oblasti, načítanie a prenos kontroly na zavádzací program operačného systému aktívnej oblasti;
• 4) prenos kontroly na skutočný bootstrap program.

Zavádzací vírus vo VY funguje podobným spôsobom a nahrádza spúšťací program operačného systému. Bežnou formou infikovania počítača boot vírusom je náhodný pokus o bootovanie z nesystémovej diskety (alebo CO disku), ktorej boot sektor je infikovaný vírusom. Táto situácia nastane, keď infikovaná disketa zostane v jednotke pri reštarte operačného systému. Keď je infikovaný hlavný zavádzací sektor pevného disku, vírus sa rozšíri pri prvom prístupe k neinfikovanej diskete.

Boot vírusy zvyčajne patria do skupiny rezidentných vírusov. Boot vírusy boli v 90. rokoch minulého storočia pomerne bežné, ale prakticky vymizli s prechodom na 32-bitové operačné systémy a opustením používania diskiet ako hlavnej metódy výmeny informácií. Teoreticky je možné, že by sa mohli objaviť boot vírusy, ktoré infikujú SP disky a flash disky, ale zatiaľ žiadne takéto vírusy neboli zistené.

Súborové vírusy infikovať súbory rôznych typov:

• programové súbory, súbory ovládačov zariadení a iné moduly operačného systému;
• súbory dokumentov, ktoré môžu obsahovať makrá;
• súbory dokumentov, ktoré môžu obsahovať skripty (skripty) alebo samostatné súbory skriptov atď.

Keď je súbor infikovaný, vírus zapíše svoj kód na začiatok, do stredu alebo na koniec súboru alebo na niekoľko miest naraz. Zdrojový súbor je upravený tak, že po otvorení súboru sa kontrola okamžite prenesie do kódu vírusu. Po získaní kontroly vykoná kód vírusu nasledujúcu postupnosť akcií:

• 1) infekcia iných súborov (kombinované vírusy) a systémových oblastí diskovej pamäte;
• 2) inštalácia vlastných rezidentných modulov (rezidentných vírusov) do RAM;
• 3) vykonávanie ďalších akcií v závislosti od algoritmu implementovaného vírusom;
• 4) pokračovanie zvyčajného postupu pri otváraní súboru (napríklad prenos kontroly do zdrojového kódu infikovaného programu).

Vírusy v programových súboroch pri infikovaní zmenia hlavičku tak, že po načítaní programu do RAM sa kontrola prenesie na kód vírusu. Napríklad formát prenosného spustiteľného súboru operačných systémov Windows a OS/2 (Portable Executable - PE) má nasledujúcu štruktúru:

• 1) hlavička vo formáte operačného systému MS-DOS;
• 2) kód programu reálneho režimu procesora, ktorý preberá kontrolu pri pokuse o spustenie aplikácie Windows v prostredí operačného systému MS-DOS;
• 3) hlavička PE súboru;
• 4) dodatočná (voliteľná) hlavička súboru PE;
• 5) hlavičky a telá všetkých segmentov aplikácie (kód programu, jeho statické dáta, dáta exportované programom, dáta importované programom, informácie o ladení atď.).

Časť obsahujúca voliteľnú hlavičku súboru PE obsahuje pole obsahujúce adresu vstupného bodu aplikácie. Bezprostredne pred vstupným bodom v segmente kódu aplikácie je importná tabuľka adries (IAT), ktorá sa vyplní platnými adresami, keď sa spustiteľný kód načíta do adresného priestoru procesu.

Keď vírus infikuje súbor programu, adresa vstupného bodu aplikácie sa zmení tak, aby ukazovala na začiatok kódu vírusu a zabezpečila, že po načítaní súboru programu automaticky prevezme kontrolu. Je tiež možné upraviť moduly jadra operačného systému (napríklad kernel32.dll) tak, aby zachytávali volania niektorých systémových funkcií (napríklad CreateProcess, CreateFile, ReadFile, WriteFile, CloseHandle) na infikovanie iných súborov.

Typ súborových vírusov sú vírusy v zhlukoch infikovaného logického disku alebo diskety. Pri infikovaní sa kód vírusu skopíruje do jedného z voľných diskových klastrov, ktorý je v tabuľke prideľovania súborov (FAT) označený ako posledný súborový klaster. Potom sa zmenia popisy programových súborov v adresári - namiesto čísla prvého klastra priradeného súboru sa umiestni číslo klastra obsahujúceho kód vírusu. V tomto prípade je skutočné číslo prvého klastra infikovaného súboru zašifrované a uložené napríklad v nepoužitej časti popisu súboru v adresári.

Keď sa spustí infikovaný súbor, kontrolu získa kód vírusu, ktorý:

• 1) nainštaluje svoj rezidentný modul do pamäte RAM, ktorá následne zachytí všetok prístup k infikovanému disku;
• 2) načíta zdrojový programový súbor a prenesie doň riadenie.

Pri následnom prístupe do adresára s infikovanými súbormi odovzdá rezidentná časť vírusu operačnému systému skutočné hodnoty čísel prvých klastrov priradených infikovaným súborom.

Vírusy v súboroch dokumentov vytvorených napríklad programami balíka Microsoft Office sú distribuované pomocou makier, ktoré sú v nich obsiahnuté (postupy v jazyku Visual Basic for Applications - programovací jazyk VBA). Preto sa takéto vírusy niekedy v makrách alebo jednoducho nazývajú vírusy makrovírusy.

Makro programovacie jazyky, najmä VBA, sú univerzálne jazyky, ktoré podporujú technológiu objektovo orientovaného programovania, majú veľkú knižnicu štandardných makro príkazov a umožňujú vytvárať pomerne zložité procedúry. Okrem toho podporuje automatické spúšťanie makier spojených s určitými udalosťami (napríklad otvorenie dokumentu) alebo určitými akciami používateľa (napríklad pri volaní príkazu na uloženie dokumentu do súboru).

Príklady automaticky spúšťaných makier spojených s konkrétnymi udalosťami spracovania dokumentov Microsoft Word zahŕňajú:

• AutoExec (spustí sa automaticky pri spustení textového procesora Microsoft Word, ak sa nachádza v súbore šablóny normal.dot alebo v súbore v podpriečinku Po spustení priečinka Microsoft Office);
• AutoNew (automaticky prevezme kontrolu pri vytváraní nového dokumentu);
• AutoOpen (automaticky spustené pri otvorení dokumentu);
• AutoClose (automaticky spustené pri zatváraní dokumentu);
• Auto Exit (automaticky prevezme kontrolu, keď skončí textový procesor Microsoft Word).

Tabuľkový procesor Microsoft Excel podporuje len niektoré z automaticky vykonávaných makier a názvy týchto makier sú mierne zmenené – Auto_open a Auto_close.

Textový procesor Microsoft Word tiež definuje makrá, ktoré automaticky získajú kontrolu, keď používateľ zavolá niektorý zo štandardných príkazov - Súbor Uložiť (Súbor | Uložiť), FileSaveAs (Súbor | Uložiť ako), Nástroje-Makro (Nástroje | Makro | Makrá), Nástroje Prispôsobiť ( Služba | Nastavenia) atď.

Dokument balíka Microsoft Office môže obsahovať aj makrá, ktoré automaticky získajú kontrolu, keď používateľ stlačí určitú kombináciu klávesov na klávesnici alebo dosiahne určitý bod v čase (dátum, čas dňa).

Akékoľvek makro (vrátane automaticky spustených) zo samostatného dokumentu možno zapísať do súboru šablóny normal.dot (a naopak) a tým sa stane dostupným pri úprave akéhokoľvek dokumentu programu Microsoft Word. Zápis makra do súboru normal.dot je možné vykonať pomocou štandardného makro príkazu MacroCopy (WordBasic), metódy OrganizerCopy objektu Application alebo metód Copy štandardných objektov Organizer (Microsoft Word) a Sheets (Microsoft Excel).

Na manipuláciu so súbormi umiestnenými v externej pamäti počítača môžu makrá použiť štandardné makro príkazy Open (otvorenie existujúceho alebo vytvorenie nového súboru), SetAttr (zmena atribútov súboru), Name (premenovanie súboru alebo priečinka), Get (čítanie údajov). z otvoreného súboru), Put (zápis údajov do otvoreného súboru), Seek (zmena aktuálnej pozície zápisu alebo čítania zo súboru), Close (zatvorenie súboru), Kill (vymazanie súboru), RmDir (odstránenie priečinka ), MkDir (vytvorenie nového priečinka), ChDir (zmena aktuálnych priečinkov) atď.

Štandardný príkaz makra Shell vám umožňuje spustiť ktorýkoľvek z programov alebo systémových príkazov nainštalovaných na vašom počítači.

Programovací jazyk VBA teda môžu autori makrovírusov použiť na vytvorenie veľmi nebezpečného kódu. Najjednoduchší makrovírus v dokumente programu Microsoft Word infikuje ďalšie súbory dokumentov nasledovne:

• 1) pri otvorení infikovaného dokumentu je daná kontrola nad makrom obsahujúcim kód vírusu;
• 2) vírus umiestni ďalšie makrá s vlastným kódom do súboru šablóny normal.dot (napríklad FileOpen, FileSaveAs a FileSave);
• 3) vírus nastaví zodpovedajúci príznak v registri systému Windows a (alebo) v inicializačnom súbore programu Microsoft Word, čo znamená, že došlo k infekcii;
• 4) pri následnom spustení programu Microsoft Word je prvým otvoreným súborom v skutočnosti už infikovaný súbor šablóny normal.dot, ktorý umožňuje vírusovému kódu automaticky prevziať kontrolu a pri ukladaní pomocou štandardného programu Microsoft Word môže dôjsť k infekcii iných súborov dokumentov. príkazy.

Dá sa povedať, že väčšina makrovírusov patrí do skupiny rezidentných vírusov, keďže časť ich kódu je neustále prítomná v RAM počítača, kým je spustený program z balíka Microsoft Office.

Umiestnenie kódu makrovírusu v dokumente balíka Microsoft Office možno naznačiť pomerne schematicky, pretože formát súboru dokumentu je veľmi zložitý a obsahuje sekvenciu dátových blokov rôznych formátov, ktoré sa navzájom kombinujú pomocou veľkého množstva servisných dát. Zvláštnosťou makrovírusov je, že môžu infikovať súbory dokumentov na počítačoch rôznych platforiem, nielen na IBM PC. Infekcia bude možná, ak sú v počítači nainštalované kancelárske programy, ktoré sú plne kompatibilné s programami z balíka Microsoft Office.

Pri ukladaní súborov dokumentov obsahujú aj náhodné údaje, ktoré nesúvisia s obsahom dokumentu, ale sú obsiahnuté v blokoch pamäte RAM, ktoré sú pri úprave dokumentu alokované, ale nie úplne vyplnené. Preto sa pri pridávaní nových údajov do dokumentu môže jeho veľkosť meniť nepredvídateľným spôsobom, vrátane zmenšovania. To nám neumožňuje posúdiť, či je súbor dokumentu infikovaný makrovírusmi, pretože jeho veľkosť sa po infekcii tiež nepredvídateľne zmení. Upozorňujeme tiež, že informácie náhodne uložené spolu so súborom verejného dokumentu môžu obsahovať dôverné informácie.

Väčšina známych makrovírusov umiestňuje svoj kód iba do makier. V makrách súborov dokumentov však existujú aj typy vírusov, v ktorých je kód vírusu uložený nielen v makrách. Tieto vírusy zahŕňajú malý zavádzač makier hlavného vírusového kódu, ktorý zavolá editor makier zabudovaný do balíka Microsoft Office, vytvorí nové makro s kódom vírusu, spustí ho a potom vytvorené makro odstráni, aby skryl stopy jeho prítomnosti. V tomto prípade je hlavný kód vírusu prítomný ako pole reťazcov buď v tele makra zavádzača, alebo vo variabilnej oblasti infikovaného dokumentu.

Infikovanie súboru šablóny normal.dot nie je jediným spôsobom, akým sa môžu makrovírusy šíriť v počítači používateľa. Je tiež možné, že môžu byť infikované ďalšie súbory šablón umiestnené v priečinku Po spustení v priečinku Microsoft Office. Ďalším spôsobom, ako infikovať súbory používateľských dokumentov makrovírusmi, je ich vloženie do doplnkových súborov programu Microsoft Word umiestnených v priečinku Addins priečinka Microsoft Office. Makrovírusy, ktoré neumiestňujú svoj kód do bežnej šablóny normal.dot, možno klasifikovať ako nerezidentné vírusy. Na infikovanie iných súborov tieto makrovírusy používajú buď štandardné makropríkazy na prácu so súbormi a priečinkami jazyka VBA, alebo používajú zoznam naposledy upravených súborov používateľom, ktorý je obsiahnutý v podponuke „Súbor“ programu Microsoft Word a iných balíkov Microsoft Office. programy.

Tabuľkový procesor Microsoft Excel nepoužíva súbor šablóny normal.dot, takže súbory z priečinka Po spustení sa používajú na infikovanie iných súborov používateľských dokumentov. Špeciálnou vlastnosťou makrovírusov, ktoré infikujú excelovské tabuľkové súbory, je, že môžu byť napísané nielen pomocou programovacieho jazyka VBA, ale aj makrojazyka „starých“ verzií Microsoft Excel, ktorý je podporovaný aj v neskorších verziách tohto tabuľkového procesora. .

V systéme správy databáz Microsoft Access sa makrá napísané v špeciálnom skriptovacom jazyku, ktorý má veľmi obmedzené možnosti, používajú na automatické získanie kontroly, keď nastane nejaká udalosť (napríklad otvorenie databázy). Ale tieto automaticky spustené makrá skriptu (napríklad makro AutoExec, ktoré automaticky prevezme kontrolu pri spustení programu Microsoft Access) môžu volať úplné makrá napísané vo VBA. Preto, aby vírus infikoval databázu Microsoft Access, musí vytvoriť alebo nahradiť automaticky spustený makro skript a skopírovať modul s makrami obsahujúcimi hlavnú časť kódu vírusu do infikovanej databázy.

Sú známe kombinované vírusy, ktoré môžu infikovať databázy Microsoft Access aj dokumenty Microsoft Word. Takýto vírus pozostáva z dvoch hlavných častí, z ktorých každá infikuje súbory dokumentov vlastného typu (.doc alebo .mdb). Obe časti takéhoto vírusu sú však schopné preniesť svoj kód z jednej aplikácie balíka Microsoft Office do druhej. Pri prenose vírusového kódu z Microsoft Access sa v spúšťacom priečinku vytvorí infikovaný doplnkový súbor šablóny (súbor .dot) a pri prenose vírusového kódu z Microsoft Word sa vytvorí infikovaný databázový súbor Accessu, ktorý sa odovzdá ako parameter do Aplikácia Microsoft Access spustená kódom vírusu (msaccess .exe).

Antivírusové spoločnosti hlásia nový trend v šírení vírusov. Po vlne e-mailových a skriptových vírusov sú flash disky pripojené k počítaču cez USB jedným z najpopulárnejších spôsobov distribúcie malvéru. Bolo to možné vďaka slabosti operačného systému Windows, ktorý v predvolenom nastavení automaticky spúšťa súbor autorun.inf z vymeniteľnej jednotky.

Podľa niektorých odborníkov možno službu INF/Autorun v OS Windows považovať za hlavnú bezpečnostnú dieru v počítačových systémoch. Na rozdiel od odosielania infikovaných programov e-mailom v tomto prípade ani kompetentný používateľ prakticky nedokáže zabrániť infekcii, pretože stačí vložiť infikované zariadenie do konektora USB a proces sa stane nezvratným. Jedinou prevenciou môže byť vypnutie automatického spúšťania, ktoré odporúčajú aj bezpečnostní experti zo samotného Microsoftu.

Dalo by sa povedať, že v niektorých smeroch je šírenie vírusov na USB diskoch návratom k počiatkom tvorby vírusov, keď ešte neexistoval internet. Vtedy sa vírusy šírili z počítača do počítača pomocou diskiet.

Softvérová záložka je externý alebo interný program napadnutého počítačového systému, ktorý má vo vzťahu k tomuto systému určité deštruktívne funkcie:

• distribúcia v distribuovaných počítačových systémoch s cieľom implementovať jednu alebo druhú hrozbu pre informačnú bezpečnosť (počítačové alebo sieťové červy, ktoré by na rozdiel od počítačových vírusov nemali mať vlastnosť zahrnúť svoj kód do tela iných súborov);
• vykonávanie rôznych akcií neoprávnených používateľom (zhromažďovanie dôverných informácií a ich odovzdávanie porušovateľovi, zničenie alebo úmyselná úprava informácií o používateľovi, narušenie počítača, používanie počítačových zdrojov na nevhodné účely (programy „trójske kone“ alebo jednoducho „trójske kone“) );
• zničenie alebo úprava fungovania softvéru CS, zničenie alebo zmena údajov v ňom spracovaných po splnení nejakej podmienky alebo prijatí nejakej správy zvonku CS („logické bomby“);
• nahradenie jednotlivých funkcií bezpečnostného subsystému CS alebo vytvorenie „pascí“ v ňom na implementáciu ohrozenia bezpečnosti informácií v CS (napríklad nahradenie šifrovacích prostriedkov emuláciou činnosti hardvérovej šifrovacej dosky nainštalovanej v CS) ;
• zachytenie hesiel používateľov CS simuláciou výzvy na ich zadanie alebo zachytenie všetkých vstupov používateľa z klávesnice;
• zachytenie toku informácií prenášaných medzi objektmi distribuovaného CS (monitory);
• Oportunistické programy, ktoré sú vyvinuté legitímnymi výrobcami, ale obsahujú potenciálne nebezpečné funkcie, ktoré môže útočník použiť.

Aby mohol sieťový červ začať pracovať, musíte spravidla spustiť súbor prijatý e-mailom (alebo kliknúť na odkaz uvedený priamo v e-mailovej správe). Existujú však aj červy, ktorých aktivácia nevyžaduje zásah človeka:

• červ je obsiahnutý v samotnom texte listu a spustí sa, keď používateľ jednoducho otvorí správu (alebo sa otvorí v okne s náhľadom v okne poštového klienta) (list je v tomto prípade text v jazyku, ktorý obsahuje skript s kód červa);
• Červ využíva „diery“ (medzery, zraniteľnosti) v bezpečnostných systémoch operačných systémov a iných programov (napríklad e-mail).

Aby prinútili používateľa spustiť súbor prijatý e-mailom, zločinci používajú veľmi sofistikované technológie nazývané sociálne inžinierstvo. Napríklad ponuka na vyplnenie formulára pripojeného k listu s cieľom získať veľkú peňažnú výhru, ktorú používateľ údajne vyhral. Alebo zamaskované ako oficiálna zásielka od známej softvérovej spoločnosti (mali by ste vedieť, že tieto spoločnosti nikdy neposielajú žiadne súbory bez žiadosti používateľa) atď.

Po spustení je červ schopný odoslať svoj kód e-mailom pomocou „adresára“ e-mailového programu. Potom sú infikované aj počítače priateľov používateľa infikovaného počítača.

Hlavným rozdielom medzi sieťovými červami a klasickými vírusmi je práve schopnosť samošírenia po sieti, ako aj absencia potreby infikovať ďalšie lokálne objekty na infikovanom počítači.

Sieťové červy na šírenie využívajú rôzne počítačové a mobilné siete: e-mail, systémy okamžitých správ, zdieľanie súborov (P2P) a IRC siete, lokálne siete (LAN), siete na výmenu dát medzi mobilnými zariadeniami (telefóny, PDA) atď. .d.

Väčšina známych červov je distribuovaná vo forme súborov: príloha e-mailu, odkaz na infikovaný súbor na nejakej webovej alebo FTP správe v ICQ a IRC správach, súbor v adresári P2P výmeny atď. Niektoré červy ( napr. nazývané „bezsúborové“ alebo „paketové“ červy) šíriace sa vo forme sieťových paketov, ktoré prenikajú priamo do pamäte počítača a aktivujú ich kód.

Niektoré červy majú aj vlastnosti iných typov malvéru. Napríklad niektoré červy obsahujú funkcie na zhromažďovanie a prenos dôverných informácií používateľa infikovaného počítača votrelcovi alebo sú schopné infikovať spustiteľné súbory na lokálnom disku infikovaného počítača, t. j. majú vlastnosti programu trójskeho koňa a (alebo) počítačový vírus.

Na obr. Tabuľka 4.1 zobrazuje údaje znázorňujúce distribúciu počítačových vírusov (vírusov) a rôznych kategórií sieťových červov (červ) v roku 2008 (podľa spoločnosti Kaspersky Lab).

Ryža. 4.1.

Určité kategórie trójskych koní spôsobujú poškodenie vzdialených počítačov a sietí bez toho, aby poškodili infikovaný počítač (napríklad trójske kone určené na masívne DDoS útoky na vzdialené sieťové zdroje).

Na rozdiel od červov a vírusov, trójske kone nepoškodzujú iné súbory a nemajú vlastné prostriedky na šírenie. Sú to jednoducho programy, ktoré vykonávajú činnosti škodlivé pre používateľa infikovaného počítača, napríklad zachytávajú heslo na prístup na internet.

V súčasnosti odborníci spoločnosti Kaspersky Lab v rámci triedy trójskych koní identifikujú tri hlavné skupiny správania:

• Backdoor (poskytuje útočníkovi možnosť vzdialene spravovať infikovaný počítač), Trojan-Downloader (doručenie iných škodlivých programov do počítača používateľa), Trojan-PSW (zachytenie hesla), Trojan (iné trójske kone), najbežnejší trójsky kôň programy;
• Trojan-Spy (spyware), Trojan-Dropper (inštalátory iných škodlivých programov);
• Trojan-Proxy („Trójske“ proxy servery), Trojan-Clicker (internetové klikače), Rootkit (skrytie ich prítomnosti v počítačovom systéme), Trojan-DDoS (programy na účasť na distribuovaných útokoch odmietnutia služby), Trojan- SMS („“ mobilné trójske kone“ sú najnaliehavejšou hrozbou pre mobilné zariadenia).

Niektoré programy majú súbor funkcií, ktoré môžu poškodiť používateľa iba vtedy, ak je splnených niekoľko podmienok. Okrem toho môžu byť takéto programy legálne predávané a používané v každodennej práci, napríklad správcami systému. V rukách narušiteľa sa však takéto programy môžu zmeniť na nástroj, ktorý môže používateľovi spôsobiť škodu. Špecialisti spoločnosti Kaspersky Lab klasifikujú takéto programy do samostatnej skupiny podmienečne nebezpečných programov (nemožno ich jednoznačne klasifikovať ako nebezpečné, ani bezpečné).

Tento typ programu je voliteľne detekovaný antivírusovými programami, ak používateľ vedome vyberie rozšírenú sadu antivírusových databáz. Ak programy objavené pri používaní rozšírených databáz sú používateľovi známe a je si 100% istý, že nespôsobia poškodenie jeho údajov (napríklad používateľ si tento program sám zakúpil, je oboznámený s jeho funkciami a používa ich na právne účely ), potom môže používateľ buď odmietnuť ďalšie používanie rozšírených antivírusových databáz, alebo pridať takéto programy do zoznamu „výnimiek“ (programy, pre ktoré bude ďalšia detekcia zakázaná).

Medzi potenciálne nebezpečné programy patria programy tried RiskWare (legálne distribuované potenciálne nebezpečné programy), Porn Ware (programy na zobrazovanie pornografických informácií) a AdWare (reklamný softvér).

Trieda programov RiskWare zahŕňa legálne programy (niektoré z nich sú voľne predávané a široko používané na právne účely), ktoré však v rukách narušiteľa môžu poškodiť používateľa a jeho údaje. V takýchto programoch nájdete legálne nástroje vzdialenej správy, klientske programy IRC, programy automatického vytáčania („dialery“), programy na sťahovanie („downloaders“), monitory akejkoľvek aktivity (monitor), pomôcky na prácu s heslami, ako aj početné internetové servery pre FTP, Web, Proxy a Telnet služby.

Všetky tieto programy nie sú samy osebe škodlivé, ale majú schopnosti, ktoré môžu útočníci využiť na poškodenie používateľov. Napríklad program vzdialenej správy vám umožňuje získať prístup k rozhraniu vzdialeného počítača a použiť ho na správu a monitorovanie vzdialeného počítača. Takýto program môže byť úplne legálny, voľne distribuovaný a nevyhnutný v práci systémových administrátorov alebo iných technických špecialistov. V rukách porušovateľov však takýto program môže poškodiť používateľa a jeho údaje tým, že získa úplný vzdialený prístup k počítaču niekoho iného.

Ako ďalší príklad zvážte nástroj, ktorý je klientom siete IRC: pokročilú funkčnosť takéhoto nástroja môžu využiť porušovatelia a programy trójskych koní, ktoré distribuujú (najmä Backdoor), ktoré využívajú funkcie takéhoto nástroja. klienta vo svojej práci. Trójsky kôň je teda schopný pridať svoje vlastné skripty do konfiguračného súboru klienta IRC bez vedomia používateľa a úspešne vykonávať svoje deštruktívne funkcie na infikovanom počítači. V takom prípade používateľ ani nebude mať podozrenie, že na jeho počítači pôsobí škodlivý trójsky kôň.

Škodlivé programy často nezávisle inštalujú klienta IRC do počítača používateľa na následné použitie na vlastné účely. V tomto prípade je umiestnením zvyčajne priečinok Windows a jeho podpriečinky. Nájdenie IRC klienta v týchto priečinkoch takmer určite naznačuje, že počítač bol infikovaný nejakým druhom malvéru.

Reklamný softvér (Adware, Advware, Spyware, Browser Hijackers) je určený na zobrazovanie reklamných správ (najčastejšie vo forme grafických bannerov) a presmerovanie vyhľadávacích dopytov na reklamné webové stránky. S výnimkou zobrazovania reklám takéto programy spravidla nijakým spôsobom nevykazujú svoju prítomnosť v systéme. Adware programy zvyčajne nemajú postup odinštalovania.

• zabudovaním reklamných komponentov do bezplatného a sharewarového softvéru (freeware, shareware);
• prostredníctvom neoprávnenej inštalácie reklamných komponentov, keď používateľ navštívi „infikované“ webové stránky.

Väčšina programov v kategóriách freeware a shareware prestane zobrazovať reklamy po ich zakúpení a/alebo registrácii. Takéto programy často používajú vstavané nástroje Adware od výrobcov tretích strán. V niektorých prípadoch tieto pomôcky Adware zostanú nainštalované v počítači používateľa aj po zaregistrovaní programov, s ktorými pôvodne vstúpili do systému používateľa. Súčasne odstránenie komponentu Adware, ktorý stále používa akýkoľvek program na zobrazovanie reklamy, môže viesť k poruchám tohto programu.

Základným účelom tohto typu Adware je implicitná forma platby za softvér, ktorá sa vykonáva zobrazovaním reklamných informácií používateľovi (inzerenti platia reklamnej agentúre za zobrazovanie svojej reklamy a reklamná agentúra platí vývojárovi Adware). Adware pomáha znižovať náklady vývojárom softvéru (príjmy z Adware ich povzbudzujú, aby písali nové a zlepšovali existujúce programy), ako aj samotným používateľom.

V prípade inštalácie reklamných komponentov, keď používateľ navštívi „infikované“ webové stránky, sa vo väčšine prípadov využívajú hackerské technológie (preniknutie do počítača cez medzeru v bezpečnostnom systéme internetového prehliadača, ako aj použitie „Trójskeho koňa“ “programy určené na skrytú inštaláciu softvéru). Adware programy, ktoré sa správajú týmto spôsobom, sa často nazývajú „únoscovia prehliadača“.

Mnohé reklamné programy okrem doručovania reklám zhromažďujú aj dôverné informácie o počítači a používateľovi (IP adresa, verzia operačného systému a internetového prehliadača, zoznam najčastejšie používaných internetových zdrojov, vyhľadávacie dopyty a ďalšie informácie, ktoré možno použiť na reklamné účely ).

Z tohto dôvodu sa programy Adware často nazývajú aj Spyware (adware v kategórii Spyware by sa nemal zamieňať so spywarom Trojan-Spy). Programy v kategórii Adware spôsobujú škody spojené nielen so stratou času a rozptýlením používateľa od práce, ale aj s veľmi reálnou hrozbou úniku dôverných údajov.

Rozdelenie programov tried RiskWare a PornWare podľa správania je možné prezentovať vo forme koláčového grafu (obr. 4.2, podľa Kaspersky Lab).

AdTool sú rôzne reklamné moduly, ktoré nemožno klasifikovať ako AdWare, pretože majú potrebné zákonné atribúty: sú vybavené licenčnou zmluvou, preukazujú svoju prítomnosť na počítači a informujú používateľa o svojich akciách.

Ryža. 4.2.

Porn-Dialers nezávisle (bez upovedomenia používateľa) nadväzujú telefonické spojenia s prémiovými číslami, čo často vedie k súdnym sporom medzi účastníkmi a ich telefónnymi spoločnosťami.

Medzi programy v kategórii Monitor patria legálne „keyloggery“ (programy na sledovanie stlačenia klávesov), ktoré sa síce oficiálne vyrábajú a predávajú, ale ak majú funkciu skryť svoju prítomnosť v systéme, možno takéto programy použiť ako plnohodnotné spyware trójske kone. .

Programy v kategórii PSW-Tool sú navrhnuté tak, aby obnovili zabudnuté heslá, ale zločinci ich môžu ľahko použiť na extrahovanie týchto hesiel z pamäte počítača nič netušiacej obete. Programy v kategórii Downloader môžu zločinci použiť na stiahnutie škodlivého obsahu do počítača obete.

Iný malvér zahŕňa rôzne programy, ktoré nepredstavujú priamo hrozbu pre počítač, na ktorom sú spustené, ale sú určené na vytváranie iných škodlivých programov, organizovanie DDoS útokov na vzdialené servery, hackovanie iných počítačov atď.

Medzi takéto programy patria vírusové podvody (Hoax) a falošné antivírusové programy (FraudTool), „hackerské“ programy na „hackovanie“ vzdialených počítačov (Exploit, HackTool), konštruktéri a balíkovači škodlivých programov (Constructor, VirTool, Packed), programy pre rozosielanie spamu a „clogging“ útoky (SpamTool, IM-Flooder, Flooder), programy na zavádzanie používateľa (BadJoke).

Hlavným typom FraudTool je takzvaný rogue-antivirus – programy, ktoré sa vydávajú za plnohodnotné antivírusové nástroje. Po inštalácii do počítača vždy „nájdu“ nejaký druh vírusu, dokonca aj na absolútne „čistom“ počítačovom systéme a ponúknu, že si na „liečbu“ kúpia svoju platenú verziu. Tieto programy okrem priameho klamania používateľov obsahujú aj funkciu AdWare. V skutočnosti ide o skutočný podvod založený na strachu používateľov z malvéru.

Hackerské nástroje kategórií Exploit a HackTool sú navrhnuté tak, aby prenikli do vzdialených počítačov za účelom ich ďalšieho ovládania (pomocou backdoor trójskych koní) alebo vniesli do napadnutého systému iné škodlivé programy. Hackerské nástroje, ako napríklad „exploit“, využívajú zraniteľné miesta v operačných systémoch alebo aplikáciách nainštalovaných na napadnutom počítači.

Konštruktéri vírusov a trójskych koní sú nástroje určené na vytváranie nových počítačových vírusov a trójskych koní. Návrhári vírusov pre DOS, Windows a makrovírusy sú známi. Umožňujú generovať vírusové zdrojové texty, objektové moduly a (alebo) priamo infikované súbory.

Niektoré konštruktory sú vybavené štandardným grafickým rozhraním, kde pomocou systému menu môžete vybrať typ vírusu, objekty, ktoré majú byť ovplyvnené, prítomnosť alebo absenciu šifrovania, odolnosť voči debuggeru, interné textové reťazce, ako aj efekty sprevádzajúce činnosť vírusu a pod. Ostatné konštruktory rozhranie nemajú a informácie o type vytváraného vírusu čítajú zo svojho konfiguračného súboru.

Obslužné programy kategórie Nuker posielajú napadnutým počítačom v sieti špeciálne navrhnuté požiadavky, v dôsledku čoho napadnutý systém prestane fungovať. Tieto programy využívajú zraniteľné miesta v softvéri sieťových služieb a operačných systémov, v dôsledku čoho špeciálny typ sieťovej požiadavky spôsobí kritickú chybu v napadnutej aplikácii.

Programy v kategóriách Bad-Joke a Hoax zahŕňajú programy, ktoré nespôsobujú žiadne priame poškodenie počítača, ale zobrazujú správy, ktoré naznačujú, že takéto poškodenie už bolo spôsobené alebo bude spôsobené za akýchkoľvek podmienok, alebo varujú používateľa pred neexistujúcou nebezpečenstvo. „Zlé vtipy“ zahŕňajú napríklad programy, ktoré používateľovi zobrazujú správy o formátovaní pevného disku (hoci v skutočnosti k žiadnemu formátovaniu nedochádza), zisťujú vírusy v neinfikovaných súboroch, zobrazujú podivné správy podobné vírusom atď.

Polymorfné generátory nie sú vírusy v doslovnom zmysle slova, pretože ich algoritmus nezahŕňa reprodukčné funkcie. Hlavnou funkciou tohto druhu programu je zašifrovať telo vírusu a vygenerovať zodpovedajúci dešifrovač.

Typicky sú polymorfné generátory distribuované ich autormi bez obmedzení vo forme archívneho súboru. Hlavným súborom v archíve každého generátora je objektový modul obsahujúci tento generátor.

Evolúcia fungovania malvéru z jednotlivých modulov na komplexné a vzájomne pôsobiace projekty sa začala začiatkom tohto storočia. Nový model fungovania malvéru by sa mal stať nielen štandardom pre množstvo nových škodlivých projektov, ale mal by sa aj ďalej rozvíjať.

Hlavné vlastnosti tohto modelu sú nasledovné:

• nedostatok jediného riadiaceho centra pre sieť infikovaných počítačov;
• aktívny boj proti pokusom výskumu tretích strán a odpočúvanie kontroly;
• Súčasné hromadné a krátkodobé šírenie škodlivého kódu;
• kompetentné používanie nástrojov sociálneho inžinierstva;
• používanie rôznych spôsobov distribúcie a postupné vyraďovanie tých najviditeľnejších (e-mail);
• použitie rôznych modulov na implementáciu rôznych funkcií (namiesto jednej univerzálnej).

Analogicky so známym termínom Web 2.0 možno novú generáciu malvéru nazvať MalWare 2.0.

Technika skrývania prítomnosti v systéme (rootkity) sa využije nielen v trójskych koňoch, ale aj v súborových vírusoch. Dôjde teda k návratu do čias operačného systému MS-DOS, kedy existovali rezidentné stealth vírusy. Ide o logický vývoj metód boja proti antivírusovým programom. Škodlivé programy majú teraz tendenciu „prežiť“ v systéme aj po odhalení.

Ďalším nebezpečným spôsobom, ako skryť prítomnosť programu v počítači, je technológia infikovania zavádzacieho sektora disku - takzvané „bootkity“. Ide o ďalší návrat starej techniky, ktorá umožňuje škodlivému programu získať kontrolu pred načítaním hlavnej časti operačného systému (a antivírusových programov). Bootkity sú rootkity s funkciou načítania z boot sektorov akéhokoľvek zariadenia. Ich nebezpečenstvo spočíva v tom, že škodlivý kód získa kontrolu ešte pred spustením OS, a teda antivírusového programu.

Jedným z najvýraznejších príkladov implementácie technológie bootkit je vbootkit. Zjednodušená postupnosť akcií vbootkit vyzerá takto. Po zapnutí počítača a spustení programov BIOS sa aktivuje kód Vbootkit (z CD alebo iného zariadenia). Potom sa spustí zavádzací program z MBR a zavádzač systému Windows Vista, po ktorom sa riadenie prenesie do jadra tohto operačného systému.

Keď vbootkit získa kontrolu nad systémom, spustí prerušenie systému BIOS 13 a potom vyhľadá podpisy pre systém Windows Vista. Po zistení začne upravovať systém Windows Vista a zároveň sa skrýva (umiestnením kódu do malých častí v rôznych oblastiach pamäte RAM). Tieto úpravy zahŕňajú obídenie bezpečnostných opatrení, ako je kontrola elektronických digitálnych podpisov, kontrola hashov a vykonávanie určitých akcií na udržanie kontroly nad systémom počas prvej aj druhej fázy procesu zavádzania.

Druhá fáza zahŕňa rozšírenie jadra operačného systému tak, aby si vbootkit zachoval kontrolu nad ním, kým sa nereštartuje. Týmto spôsobom bude mať používateľ súbor vbootkit načítaný do jadra systému Windows Vista.

Bootkity ukladajú v boot sektore len minimum potrebné na spustenie hlavného kódu. Tento kód jadra je uložený v iných sektoroch, ktorých obsah bootkit skryje zachytením prerušení BIOSu na prečítanie sektora.

Používatelia sociálnych sietí sa môžu stať hlavným cieľom takzvaného phishingu. Poverenia predplatiteľov rôznych sieťových služieb budú medzi porušovateľmi veľmi žiadané. Bude to dôležitá alternatíva k technike umiestňovania malvéru na napadnuté webové stránky. Trójske kone môžu byť distribuované presne prostredníctvom účtov používateľov sociálnych sietí, prostredníctvom ich blogov a profilov.

Ďalším problémom súvisiacim so sociálnymi sieťami môže byť XSSPHPSQL-aTaKH. Na rozdiel od phishingu, ktorý sa spolieha výlučne na podvody a techniky sociálneho inžinierstva, tieto útoky využívajú chyby a zraniteľné miesta v samotných službách Web 2.0 a môžu ovplyvniť aj vysoko gramotných používateľov. V tomto prípade sú cieľom porušovateľov osobné údaje používateľov, ktoré sú potrebné na vytvorenie určitých databáz a zoznamov na vykonávanie následných útokov pomocou „tradičných“ metód.

Hlavné faktory zabezpečujúce súčasný záujem používateľov a hackerov o služby Web 2.0 sú:

• prenos užívateľských údajov z osobného počítača na internet;
• používanie jedného účtu pre niekoľko rôznych služieb;
• dostupnosť podrobných informácií o používateľoch;
• dostupnosť informácií o spojeniach, kontaktoch a známych používateľoch;
• poskytovanie miesta na publikovanie akýchkoľvek informácií;
• dôveryhodné vzťahy medzi kontaktmi.

Tento problém je už dosť vážny a podľa odborníkov má všetky šance stať sa veľkým problémom informačnej bezpečnosti.

Čo sa týka mobilných zariadení a predovšetkým mobilných telefónov, hrozby pre ne sú rozdelené medzi primitívne trójske kone a rôzne zraniteľnosti v operačných systémoch a aplikáciách pre smartfóny.

V súlade so spôsobmi zavádzania softvérových záložiek do CS a možnými miestami ich umiestnenia v systéme možno záložky rozdeliť do nasledujúcich skupín:

• softvérové ​​záložky spojené s BIOSom;
• záložky spojené so zavádzacími a zavádzacími programami operačného systému;
• záložky spojené s ovládačmi operačného systému a inými systémovými modulmi;
• záložky spojené so všeobecným aplikačným softvérom (napríklad archivátory);
• programové súbory obsahujúce iba kód záložky a implementované pomocou dávkových dávkových súborov;
• Záložky vydávané za všeobecný aplikačný softvér;
• záložky maskované ako herný a vzdelávací softvér (na uľahčenie ich počiatočnej implementácie do počítačového systému).

Kapitola 1. FUNKCIE OBJEDNÁVANIA ♦ MALWARE V KRITICKEJ SITUÁCII

DÔLEŽITÉ SEGMENTY INFORMAČNEJ SFÉRY.

1.1. Škodlivé programy ako zdroj ohrozenia kritických segmentov informačnej sféry.

1.2. Boj proti malvéru v kritických segmentoch informačnej sféry.

1.3. Vyjadrenie k problému komplexného hodnotenia účinnosti boja proti malvéru v kritických segmentoch informačnej sféry.

1.4. Závery.

Kapitola 2. TVORBA UKAZOVATEĽOV

ÚČINNOSŤ PROTI MALVÉRU V KRITICKÝCH SEGMENTOCH INFORMAČNEJ SFÉRY.

2.1. Metodika štruktúrovania ukazovateľov výkonu proti malvéru.

2.2. Metodika syntézy hierarchickej štruktúry ukazovateľov účinnosti antimalvéru.

2.3. Jednotný popis štruktúry ukazovateľov výkonu antimalvéru

2.4. Závery.

Kapitola 3. MATEMATICKÉ MODELOVANIE

PROCESY PROTI MALVÉRU V KRITICKÝCH SEGMENTOCH INFORMAČNEJ SFÉRY.

3.1. Vlastnosti syntézy matematického modelu na hodnotenie účinnosti boja proti malvéru.

3.2. Formálna prezentácia procesov fungovania antimalvérových nástrojov.

3.3. Simulačný model na hodnotenie časovej účinnosti boja proti malvéru

3.4. Analytické modely na hodnotenie pravdepodobnostných ukazovateľov účinnosti boja proti malvéru. ^

3.5. Prezentácia počiatočných údajov na hodnotenie pravdepodobnostných ukazovateľov účinnosti boja proti malvéru.

3.6. Závery.

Kapitola 4. VÝPOČTOVÉ EXPERIMENTY NA POSÚDENIE EFEKTÍVNOSTI PROTI MALVÉRU V KRITICKÝCH DÔLEŽITÝCH SEGMENTOCH INFORMAČNEJ SFÉRY.

4.1. Metodika plánovania výpočtových experimentov na posúdenie účinnosti boja proti malvéru

4.2. Výsledky výpočtových experimentov.

4.3. Analýza účinnosti navrhovanej metódy na hodnotenie boja proti malvéru.

4.4. Závery.

Odporúčaný zoznam dizertačných prác

• Matematické modely zovšeobecneného hodnotenia účinnosti boja proti ohrozeniam bezpečnosti segmentov informačnej sféry 2006, kandidát technických vied Likhodedov, Denis Jurijevič

• Funkčné modelovanie škodlivých dopadov na kritické segmenty informačnej sféry 2008, kandidát technických vied Modestov, Alexey Albertovich

• Modelovanie a optimalizácia fungovania automatizovaných kontrolných systémov orgánov vnútorných záležitostí v kontexte boja proti malvéru 1999, doktor technických vied Skryl, Sergey Vasilievich

• Teoretické základy a praktická implementácia syntézy informačných systémov pre automatizované riadiace komplexy kritických objektov 2009, doktor technických vied Krupenin, Alexander Vladimirovič

• Výskum a vývoj algoritmov na rozpoznávanie malvéru pri bránení neoprávnenému ovplyvňovaniu informačných zdrojov zabezpečených počítačových sietí 2004, kandidát technických vied Kiselev, Vadim Vjačeslavovič

Úvod dizertačnej práce (časť abstraktu) na tému „Vývoj a výskum algoritmov pre komplexné hodnotenie účinnosti boja proti malvéru v kritických segmentoch informačnej sféry“

Relevantnosť výskumnej témy. Intenzívny rozvoj a zdokonaľovanie informačných technológií vedie k potrebe považovať rozširovanie informačnej sféry za dominantný trend. To viedlo k vzniku samostatnej triedy prvkov tejto sféry, jej tzv. kritických segmentov - informačné systémy podporujúce činnosť orgánov štátnej správy /1/, systémy riadenia komunikačnej infraštruktúry /2/, financie /3/, energetika /4 /, doprava 151 a záchranné služby 161. Rozširovanie informačnej sféry zároveň viedlo k vzniku rôznych typov ohrozenia prvkov informačnej sféry 111. Zároveň sa jej kritické segmenty stali hlavnými predmetom takýchto hrozieb. To vyvolalo potrebu riešiť množstvo problémov spojených s organizáciou ochrany informačnej sféry s cieľom predchádzať škodám z narušenia jej bezpečnosti v prítomnosti rôznych zdrojov ohrozenia /8 - 13/.

Jedným z najvážnejších zdrojov hrozieb v informačnej sfére je malvér /14 - 16/ - jeden z hlavných nástrojov nelegálnej manipulácie s informáciami /17/ v jej počítačových sieťach /18/. Škodlivé programy sú navrhnuté vysokokvalifikovanými odborníkmi /19/ ako programy vírusového typu /20 - 26/, čo umožňuje využívať také výhody počítačových vírusov, ako je izomorfná štruktúra, schopnosť vytvárať si vlastné kópie a prejavovať sa len za určitých podmienok. parametre výpočtového prostredia /27 - 28/. Tieto vlastnosti umožňujú škodlivým programom implementovať funkcie nelegálnej manipulácie s informáciami v extrémne krátkych časových úsekoch, čo výrazne sťažuje možnosť ich detekcie a eliminácie a v dôsledku toho sa takéto programy zaraďujú do kategórie jedného z najpokročilejších nástrojov. za protiprávne konanie v informačnej sfére dnes /29/.

Škodlivé programy ovplyvňujú predovšetkým dočasné charakteristiky prvkov informačnej sféry, pretože ich dopad má za následok značné dočasné straty spojené s obnovením správnosti informačných procesov.

V tejto súvislosti je zrejmé, že škodlivé programy sú faktorom výrazného zníženia efektívnosti využívania predovšetkým kritických segmentov informačnej sféry, keďže ich činnosť je zameraná na rýchle spracovanie prichádzajúcich informácií. To nám zase umožňuje klasifikovať malvér ako samostatnú triedu najzávažnejších hrozieb pre bezpečnosť informačného sektora.

Preto sa problém ochrany kritických segmentov informačnej sféry pred týmto typom hrozby stáva naliehavým. Je zrejmé, že jeho riešenie musí prebiehať systematicky, na základe komplexného štúdia antimalvérových technológií. Skutočnosť, že takéto technológie sú charakterizované mnohými heterogénnymi parametrami, robí ich výskumnú problematiku komplexnou, a to z vedeckého aj praktického hľadiska.

Podobné štúdie naznačujú:

Vykonávanie systémovej analýzy stavu ochrany proti malvéru ako celku v informačnej sfére a jeho jednotlivých kritických segmentoch;

Výskum účinných metód a prostriedkov boja proti malvéru;

Hodnotenie antimalvérových technológií v kritických segmentoch informačnej sféry.

To všetko si vyžiadalo hľadanie prístupov na hodnotenie účinnosti boja proti malvéru, ktoré by systematicky zohľadňovali všetky mnohé vlastnosti používaných technológií.

Ako ukazuje analýza stavu problému /30/, jedným z najsľubnejších spôsobov riešenia tohto problému je syntetizovať komplexný indikátor, ktorý charakterizuje schopnosti technológií používaných na boj proti malvéru. Syntéza komplexného indikátora má zároveň množstvo funkcií spojených s prítomnosťou mnohých smerov tak pri klasifikácii schopností rôznych technológií na boj proti malvéru, ako aj pri používaní matematických nástrojov na výskum.

To umožnilo navrhnúť zásadne nový prístup k riešeniu problému komplexného hodnotenia účinnosti boja proti malvéru v kritických segmentoch informačnej sféry.

Podstatou tohto prístupu je vyvinúť rozumné pravidlá pre syntézu komplexného ukazovateľa účinnosti boja proti malvéru, ktorého forma bude optimálna z hľadiska odrážania schopností použitých protiakčných technológií.

Napriek tomu, že zlepšovanie teórie a praxe zabezpečovania informačnej bezpečnosti sa stalo mimoriadne naliehavým problémom, špeciálne štúdie vo vzťahu k úlohám komplexného hodnotenia účinnosti boja proti škodlivým programom v informačnej sfére vo všeobecnosti a boja proti škodlivým programom v jej informačnej sfére neuskutočnili sa najmä kritické segmenty.

Vzhľadom na skutočnosť, že navrhovaná metóda hodnotenia účinnosti boja proti malvéru nie je pokrytá v dostupnej literatúre a známe metódy neumožňujú komplexné posúdenie schopností nástrojov na boj proti malvéru, dáva to dôvod tvrdiť, že Úloha vyvinúť metódy na komplexné hodnotenie účinnosti týchto nástrojov je mimoriadne dôležitá a otázky súvisiace s touto oblasťou si vyžadujú seriózne štúdium z metodologického aj aplikačného hľadiska. To všetko naznačuje relevantnosť témy tejto dizertačnej práce, ktorá sa vykonáva v súlade s Doktrínou informačnej bezpečnosti Ruskej federácie 111, ako aj v súlade s vedeckým vedením Voronežského inštitútu Ministerstva vnútra Ruska. na zdôvodnenie požiadaviek na prostriedky a systémy informačnej bezpečnosti.

Predmetom výskumu sú technológie na boj proti malvéru v kritických segmentoch informačnej sféry.

Predmetom výskumu sú metódy komplexného hodnotenia účinnosti boja proti malvéru v kritických segmentoch informačnej sféry.

Cieľom dizertačnej práce je zdokonaliť metódy hodnotenia boja proti malvéru v kritických segmentoch informačnej sféry na základe syntézy komplexného ukazovateľa účinnosti použitých protiakčných technológií.

Na dosiahnutie cieľa sa riešia tieto vedecké úlohy:

Teoretické zdôvodnenie systémových požiadaviek na syntézu komplexného ukazovateľa účinnosti boja proti malvéru v kritických segmentoch informačnej sféry;

Vývoj algoritmu na syntézu takéhoto indikátora;

Vybudovanie optimálnej štruktúry súkromných ukazovateľov účinnosti používaných antimalvérových technológií;

Vývoj súboru analytických a simulačných modelov, ktoré poskytujú hodnotenie ukazovateľov účinnosti používaných antimalvérových technológií;

Experimentálne testovanie algoritmov pre komplexné hodnotenie účinnosti boja proti malvéru v kritických segmentoch informačnej sféry.

Výskumné metódy. Práca využíva metódy systémovej analýzy, teórie informačnej bezpečnosti, teórie množín, teórie grafov, matematického modelovania, teórie pravdepodobnosti a matematickej štatistiky a teórie náhodných procesov.

Platnosť a spoľahlivosť získaných výsledkov je zabezpečená:

Používanie osvedčených matematických nástrojov v procese formalizácie procesov boja proti malvéru;

Experimentálne overenie vyvinutých matematických modelov a zhoda získaných výsledkov s prípadmi známymi z odbornej literatúry.

Vedecká novosť a teoretický význam výsledkov získaných v dizertačnej práci sú nasledovné:

1. Boli vyvinuté algoritmy na komplexné hodnotenie účinnosti boja proti malvéru v kritických segmentoch informačnej sféry, ktorý sa líši od známych metód riešenia podobných problémov tým, že integrácia jednotlivých indikátorov sa uskutočňuje na základe zohľadnenia ich vplyvu. o cieľovej funkcii - miera predchádzania poškodeniu informačnej sféry z narušenia jej bezpečnosti.

2. Na vyhodnotenie jednotlivých ukazovateľov antimalvérových technológií je navrhnutý metodický prístup ku kombinácii simulácie a analytického modelovania, ktorý na rozdiel od analógov umožňuje kontrolovať úroveň detailu skúmaných procesov.

3. Boli navrhnuté nové riešenia na zostavenie matematických modelov boja proti malvéru, založené na použití podobnosti jednotlivých indikátorov technológií používaných na boj proti klasickej reprezentácii náhodných premenných.

Praktická hodnota výskumu spočíva vo vývoji efektívneho systému na podporu rozhodovania na hodnotenie technológií používaných na boj proti malvéru v kritických segmentoch informačnej sféry, ktorý plní tieto funkcie:

Analýza a zovšeobecnenie konkrétnych indikátorov boja proti malvéru pre rôzne praktické možnosti použitých protiakčných technológií;

Konštrukcia analytických schém pre antimalvérové ​​technológie, ktoré sú vhodné na praktické pochopenie;

Porovnanie ukazovateľov účinnosti rôznych antimalvérových technológií.

Výsledky teoretického a experimentálneho výskumu možno použiť na riešenie nasledujúcich vedeckých a aplikovaných problémov:

Zdôvodnenie nových prístupov k organizovaniu boja proti malvéru v kritických segmentoch informačnej sféry;

Analýza existujúcich technológií na boj proti malvéru počas ich používania.

Získané výsledky je možné využiť v prednáškových kurzoch a vzdelávacích materiáloch na vysokých školách pri štúdiu základov informačnej bezpečnosti, ako aj pri preškoľovaní pracovníkov zodpovedných za bezpečnosť kritických segmentov informačnej sféry.

Na obhajobu sa predkladajú tieto hlavné ustanovenia dizertačnej práce:

1. Vyjadrenie a výsledky riešenia problému syntézy komplexného ukazovateľa účinnosti boja proti malvéru v kritických segmentoch informačnej sféry na základe zostavenia optimálnej štruktúry privátnych ukazovateľov a jeho aplikácie na posúdenie účinnosti technológií používaných na boj proti malvéru .

2. Metodický prístup ku kombinácii simulácie a analytického modelovania na vyhodnotenie špecifických ukazovateľov antimalvérových technológií.

Implementácia výsledkov práce. Výsledky dizertačnej práce sú implementované v:

Vojenský inštitút rádioelektroniky Ministerstva obrany Ruskej federácie;

Voronežský inštitút Ministerstva vnútra Ruskej federácie;

Hlavné ministerstvo vnútra Voronežskej oblasti;

Ministerstvo vnútra regiónu Tambov.

Implementáciu výsledkov potvrdzujú príslušné zákony.

Schválenie práce. Hlavné metodologické a praktické výsledky výskumu boli prezentované na nasledujúcich konferenciách:

Hlavné metodologické a praktické výsledky výskumu boli prezentované na nasledujúcich konferenciách:

1. Celoruská vedecká a praktická konferencia „Moderné problémy boja proti kriminalite“ - Voronež, 2002 /48/.

2. Medziregionálna vedecká a praktická konferencia „Informácie a bezpečnosť“ - Voronež, 2002 /56/.

3. IV celoruská vedecká a praktická konferencia „Bezpečnosť, bezpečnosť a komunikácie“ - Voronež, 2003 /49/.

4. Celoruská vedecká a praktická konferencia „Moderné problémy boja proti zločinu“ - Voronež, 2005 /57/.

V prácach publikovaných v spoluautorstve navrhovateľ osobne navrhol: v /28/ - klasifikovať počítačové vírusy s prihliadnutím na ich komplexný prejav vlastností asociatívnosti, replikatívnosti a izomorfizmu; v /29/ - ilustrácia využitia rôznych vlastností počítačových vírusov útočníkmi pri implementácii etáp všeobecnej stratégie neoprávneného prístupu k informáciám v počítačových systémoch; v /30/ považovať ich aktivitu a schopnosť prežitia za hlavné klasifikačné charakteristiky vlastností škodlivých programov; v /35/ - systematizácia okolností, ktoré podmieňujú potrebu utajenia postupu orgánov činných v trestnom konaní; v /48/ - identifikovať protiprávne konania v oblasti počítačových informácií pomocou dvojúrovňového systému, ktorého prvá úroveň zabezpečuje identifikáciu skutočnosti protiprávneho konania a druhá - stopy takýchto vplyvov; v /49/ - identifikovať skutočnosti nezákonného ovplyvňovania informácií v počítačových sieťach pomocou sémantického riadenia informačných parametrov výpočtových procesov; v /50/ - ako základný princíp identifikácie počítačových trestných činov princíp hierarchického popisu stratégií neoprávneného prístupu k informáciám v počítačových systémoch; v /53/ - využívať distribuované technológie ochrany informácií ako zdroj forenzne významných informácií pri vyšetrovaní počítačovej kriminality; v /54/ - považovať prítomnosť úplného súboru identifikačných znakov tohto typu protiprávneho konania za dominantný faktor pri zvyšovaní miery odhalenia počítačovej kriminality; v /56/ - považovať metodiku hodnotenia bezpečnosti informačných a telekomunikačných systémov pred ohrozením ich informačnej bezpečnosti za postup pri formovaní hierarchickej štruktúry ukazovateľov, za príklad funkčného informačného modelu považovať činnosť režimu špeciálnych síl. služba pri poskytovaní úradnej dokumentácie zamestnancom; v /57/ - vytvoriť komplexný ukazovateľ na hodnotenie účinnosti boja proti malvéru na základe hierarchického usporiadania súkromných ukazovateľov; v /67/ - využiť funkčný popis informačných procesov ako nevyhnutný stupeň ich formalizácie.

Štruktúra a rozsah prác. Dizertačná práca je prezentovaná na 164 stranách a pozostáva z úvodu, štyroch kapitol, záveru, bibliografie použitej literatúry a prílohy, obsahuje 51 obrázkov a 19 tabuliek.

Podobné dizertačné práce v odbore "Metódy a systémy informačnej bezpečnosti, informačná bezpečnosť", 13.05.19 kód VAK

• Matematický model boja proti neoprávnenému prístupu k informačným a telekomunikačným systémom pomocou rôznych typov prostriedkov informačnej bezpečnosti pri minimalizácii rozptýlenia výpočtových zdrojov 2002, kandidát technických vied Kochedykov, Sergej Sergejevič

• Modelovanie a optimalizácia informačných procesov v teritoriálnych segmentoch jednotného informačného a telekomunikačného systému orgánov vnútorných vecí v kontexte boja proti ohrozeniam informačnej bezpečnosti 2006, kandidátka technických vied Čagina, Ľudmila Vladimirovna

• Modelovanie škodlivých dopadov na chránené informačné systémy za účelom identifikácie protiprávneho konania v oblasti počítačových informácií 2005, kandidát technických vied Tyunyakin, Roman Nikolaevič

• Rozpoznanie škodlivého softvéru na základe skrytých Markovových modelov 2012, kandidát technických vied Kozachok, Alexander Vasilievich

• Matematické modely hodnotenia efektívnosti súkromných bezpečnostných zložiek pri poskytovaní služieb v oblasti technickej ochrany informácií 2005, kandidát technických vied Fedorov, Ivan Semenovič

Záver dizertačnej práce na tému „Metódy a systémy informačnej bezpečnosti, informačná bezpečnosť“, Sushkov, Pavel Feliksovich

4.4. závery

1. Účinnosť boja proti malvéru v kritických segmentoch informačnej sféry je vhodné posúdiť na základe analýzy rôznych možností použitia protiopatrení v súlade s plánom výpočtových experimentov.

2. Použitie metód vyvinutých v dizertačnej práci na hodnotenie účinnosti boja proti malvéru v kritických segmentoch informačnej sféry nám umožňuje znížiť rozsah používaných matematických modelov o 50%.

3. Charakteristiky presnosti hierarchickej štruktúry ukazovateľov navrhnutých v dizertačnej práci vzhľadom na použitie pravdepodobnostnej škály sú minimálne o dva rády vyššie ako charakteristiky presnosti známych integrovaných štruktúr ukazovateľov.

4. Metódu vypracovanú v dizertačnej práci na hodnotenie účinnosti boja proti malvéru v kritických segmentoch informačnej sféry možno považovať za univerzálnu metódu hodnotenia bezpečnosti informačných objektov.

Úroveň 5

Účelom ochrany informácií je predchádzať škodám z narušenia bezpečnosti informácií

Úroveň 4

Úroveň 3

Úroveň 2

Možnosti, ako zabrániť narušeniu dôvernosti (úniku) informácií

Možnosti prevencie narušenia integrity infoormacínu

Možnosti ochrany informácií pred únikom v dôsledku bočného elektromagnetického žiarenia a rušenia

Možnosti, ako zabrániť narušeniu prístupnosti (blokovaniu) informácií

Príležitosti na ochranu informácií pred neoprávneným prístupom

Možnosti ochrany rečových informácií (pred únikom cez akustický kanál)

Príležitosti predchádzať podmienkam priaznivým pre vznik hrozieb

Príležitosti na predchádzanie vzniku hrozieb NSD 1

Možnosti predchádzania vzniku hrozieb úniku informácií cez fyzické polia

Príležitosti pre zistené zdroje hrozieb

Woam< южк» ста по закрытию доступа в обход системы защиты и и форма-цкн

Príležitosti pre neutrálne a negatívne hrozby NSD X X

Príležitosti na neutralizáciu hrozieb úniku informácií cez fyzické polia X

Možnosti detekcie a dopadu hrozieb NSD

Možnosti zisťovania dopadov hrozieb úniku informácií cez kanály PEMIN

Možnosti detekcie a dopadu hrozieb úniku informácií cez akustický kanál X

Možnosti obnovy informácií po vystavení hrozbám NSD

BOiMG&HdCTtt o obnove informácií po vystavení hrozbám úniku informácií cez kanály ghemim

Príležitosti obnovené!! yu informácie po vystavení hrozbe úniku informácií do akustického kanála

Možno*

Úroveň 1

Možno Možno

Pokyny na obmedzenie prístupu k zdrojom informačných zdrojov

ITKS ITKS

Možnosti skrytia žiarenia a rušenia pred informačnými kanálmi (fyzikálne polia)

Možno

STA o dezinformáciách (imitácia žiarenia a interferencie)

Možnosti kryptografickej transformácie informácií

Možno

Pokyny pre prvky monitorovania (stav prvkov) TSOI a ITKS

Je možné evidovať informácie o fungovaní TSIOI z pohľadu RF

Príležitosti na včasné zničenie vyčerpaných a nepoužitých informácií

Možnosti signalizácie prejavov a hrozieb nezákonnej činnosti

Možnosti signalizácie prejavov hrozieb úniku informácií cez kanály PEMIN

Možnosti signalizácie prejavov hrozieb úniku informácií akustickými kanálmi pre reakciu na prejavy ohrozenia (zneškodňovanie hrozieb)

Príležitosti pre angličtinu prejavov a hrozieb NSD

Na prejavy hrozieb je možné reagovať (neutralizovať hrozby) prostredníctvom akustických kanálov

Ryža. 4.3.2. Štruktúra ukazovateľov heterogénnych technických systémov a prostriedkov informačnej bezpečnosti informačných a telekomunikačných systémov

ZÁVER

Hlavné vedecké výsledky získané v dizertačnej práci sú nasledovné:

1. Metóda všeobecného hodnotenia účinnosti systému boja proti malvéru v kritických segmentoch informačnej sféry je teoreticky opodstatnená a prakticky implementovaná na základe štruktúrovania jednotlivých indikátorov protiopatrení.

2. Bola vyvinutá metóda na optimalizáciu štruktúry súkromných indikátorov na boj proti malvéru. V súlade s ním sa navrhuje:

Prezentovať súbor indikátorov protiopatrení vo forme hierarchickej štruktúry s dôsledným zovšeobecnením vlastností protiopatrení;

Úrovne hierarchickej štruktúry sú prezentované vo forme súborov ukazovateľov zodpovedajúcich hlavným triedam schopností protiopatrení na zabezpečenie bezpečnosti počítačových sietí, ktoré tvoria materiálnu základňu informačnej sféry;

Ako nástroj na štúdium účinnosti boja proti malvéru používajte simulačné a analytické modely, ktoré popisujú procesy fungovania protiopatrení.

3. Na posúdenie rôznych možností vybavenia počítačových sietí antivírusovými nástrojmi je vypracovaná metodika, ktorá vychádza z princípov teórie výpočtových experimentov s využitím matematických modelov vypracovaných v dizertačnej práci.

V dizertačnej práci boli dosiahnuté tieto nové praktické výsledky:

1. Výskum uskutočnený s použitím vyvinutých matematických modelov na boj proti malvéru v kritických segmentoch informačnej sféry je dôvodom na tvrdenie, že:

Použitie metód vyvinutých v dizertačnej práci na hodnotenie pôsobenia malvéru v kritických segmentoch informačnej sféry umožňuje znížiť rozsah používaných matematických modelov o 50 %.

Charakteristiky presnosti hierarchickej štruktúry ukazovateľov navrhnutých v dizertačnej práci vzhľadom na použitie pravdepodobnostnej škály sú minimálne o dva rády vyššie ako charakteristiky presnosti známych integrovaných štruktúr ukazovateľov.

Praktický význam týchto výsledkov je v tom, že umožňujú kvantifikovať uskutočniteľnosť opatrení na boj proti malvéru v kritických segmentoch informačnej sféry.

2. Vyvinuté metódy, modely a algoritmy spolu predstavujú metodickú podporu pre riešenie praktického problému hodnotenia účinnosti boja proti malvéru v kritických segmentoch informačnej sféry. Dá sa použiť na riešenie podobných problémov pri posudzovaní bezpečnosti informačných objektov pred podobnými hrozbami ako ich informačná bezpečnosť.

Zoznam odkazov na výskum dizertačnej práce Kandidát technických vied Sushkov, Pavel Feliksovich, 2005

1. Telekomunikácie. Svet a Rusko. Stav a vývojové trendy / Kleshchev N.T., Fedulov A.A., Simonov V.M., Borisov Yu.A., Osenmuk M.P., Selivanov S.A. M.: Rozhlas a komunikácia, 1999. - 480 s.

2. Khomyakov N.N., Khomyakov D.N. Analýza bezpečnosti jadrovej elektrárne počas teroristických útokov. // Bezpečnostné systémy. 2002. - č. 2(44). - s. 74-76.

3. Moshkov G.Yu. Našou prioritou je zaistenie bezpečnosti dopravných zariadení. // Bezpečnostné systémy. - 2003. - č. 6(48). - S. 8-9.

4. Agapov A.N. Jadrová a radiačná bezpečnosť. Núdzová pripravenosť. // Bezpečnostné systémy. 2003. - č. 2(50). - S. 8-10.

5. Doktrína informačnej bezpečnosti Ruskej federácie // Rossijskaja gazeta z 28. septembra 2000.

6. Gerasimenko V.A. Ochrana informácií v automatizovaných systémoch spracovania údajov: V 2 knihách: Kniha. 1. M.: Energoatomizdat, 1994. - 400 s.

7. Gerasimenko V.A. Ochrana informácií v automatizovaných systémoch spracovania údajov: V 2 knihách: Kniha. 2. M.: Energoatomizdat, 1994. - 176

8. Gerasimenko V.A., Malyuk A.A. Základy informačnej bezpečnosti: Učebnica pre vysoké školy Ministerstva všeobecného a odborného vzdelávania Ruskej federácie M.: MEPhI, 1997. - 538 s.

9. Základy informačnej bezpečnosti: Učebnica pre vysoké školy Ministerstva vnútra Ruska / Ed. Minaeva, V.A. a Skryl S.V. - Voronež: Voronežský inštitút Ministerstva vnútra Ruska, 2001. - 464 s.

10. Shcherbakov A.A. Deštruktívne softvérové ​​vplyvy. M.: Vydavateľstvo "Edel", 1993. 64 s.

11. Mukhin V.I. Informačné a softvérové ​​zbrane. Deštruktívne softvérové ​​vplyvy. // Vedecké a metodické materiály. M.: Vojenská akadémia strategických raketových síl pomenovaná po Petrovi Veľkom, 1998.-44 s.

12. Skryl S.V. Klasifikácia softvéru na krádež a skreslenie informácií v automatizovaných informačných systémoch // Špičkové technológie v technológii, medicíne a vzdelávaní: Medziuniverzitná zbierka. vedecký tr., 2. časť. Voronež: VSTU, 1997. - S. 131-137.

13. Počítačové siete. Princípy, technológie, protokoly: Učebnica pre vysoké školy. / V.G. Oliver, N.A. Oliver SPb.: Peter, 2003. - 864 s.

14. Syrkov B.Yu. Počítačový systém očami hackera // Technológie a komunikácie. -1998. č. 6. S. 98-100

15. Bezrukov N.N. Úvod do počítačovej virológie. Všeobecné princípy fungovania, klasifikácia a katalóg najbežnejších vírusov v MS-DOS. Kyjev, 1989. - 196 s.

16. Bezrukov N.N. Počítačová virológia: Referenčná príručka. - Kyjev, 1991.

17. Bezrukov N.N. Počítačové vírusy. - M., 1991. - 132 s.

18. Kaspersky E.V. Počítačové vírusy v systéme MS-DOS. M.: Vydavateľstvo Edel, 1992. - 120 s.

19. Kaspersky E.V. Počítačové vírusy, čo sú a ako s nimi bojovať. M.: "SK Press", 1998. - 288 s.

20. Boje F., Johnston P., Kratz M. Počítačový vírus: problémy a predpoveď. -M.: Mir, 1993. 175 s.

21. Guliev N.A. Počítačové vírusy, pohľad zvnútra. M.: DMK, 1998.-304 s.

22. Technológie na vývoj malvéru založeného na počítačových vírusoch // Napr. Gennadieva, K.A. Razinkin, Yu.M. Safonov, P.F. Sushkov, R.N. Tyunyakin // Informácie a bezpečnosť. 1. vydanie - Voronež: VSTU, 2002. - s. 79-85.

23. Virologické typovanie škodlivých programov // JI.B. Čagina, K.S. Skryl, P.F. Sushkov // Science of production, 2005. - Číslo 6. - S. 12-17.

24. Minajev V.A., Skryl S.V. Počítačové vírusy ako systémové zlo. // Bezpečnostné systémy SB-2002: Materiály XI. vedecko-technickej konferencie Medzinárodného fóra informatizácie - M.: GPS Academy, 2002. - S. 18-24.

25. Systémy a siete prenosu údajov: Učebnica. / M.V. Garanin, V.I. Zhuravlev, S.V. Kunegin M.: Rádio a komunikácia, 2001. - 336 s.

26. Telekomunikačné systémy a siete: Učebnica V 3 zväzkoch. Zväzok 1 Moderné technológie / B.I. Kruk, V.N. Popantonopoulo, V.P. Šuvalov - M.: Hotline - Telecom, 2003. - 647 s.

27. Ochrana informácií v počítačových systémoch a sieťach. / Romanets Yu.V., Timofeev P.A., Shangin V.F. M.: Rádio a komunikácia, 2001. - 376 s.

28. Organizačné a právne aspekty obmedzovania prístupu k informáciám v činnosti orgánov pre vnútorné záležitosti / Asyaev P.I., Pozhilykh V.A., Sushkov P.F., Belousova I.A., Potanina I.V., Razinkin K.A. // Informácie a bezpečnosť. - Číslo 1. Voronež: VSTU, 2002. - S. 43-47.

29. Kaspersky K. Techniky sieťového útoku. Techniky protiakcie. M.: Solon-R, 2001.-397 s.

30. Serdyuk V.A. Sľubné technológie na odhaľovanie informačných útokov. // Bezpečnostné systémy. 2002. - č. 5(47). - s. 96-97.

31. Programovanie algoritmov informačnej bezpečnosti: Učebnica. / Domashev A.V. Gruntovič M.M., Popov V.O., Pravikov D.I., Prokofiev I.V., Shcherbakov A.Yu. M.: Vedomosti, 2002. - 416 s.

32. Grusho A.A., Timonina E.E. Základy informačnej bezpečnosti. M.: Jachtár, 1996.-192 s.

33. Bezpečnosť rezortných informačných a telekomunikačných systémov. / Getmantsev A.A., Lipatnikov V.A., Plotnikov A.M., Sapaev E.G. VAS, 1997. 200 s.

34. Skryl S.V. Modelovanie a optimalizácia fungovania automatizovaných kontrolných systémov orgánov vnútorných záležitostí v kontexte boja proti malvéru: Abstrakt dizertačnej práce Dr. tech. Sciences M.: Akadémia štátnej požiarnej služby Ministerstva vnútra Ruska, 2000. - 48 s.

35. Antivírusové programy Joela T. Patza / PC Magazine / ruské vydanie, 1996, č. 3 (46), s. 70-85

36. Inteligentné technológie antivírusu Doctor Web. / JSC "Dialognauka". // Bezpečnostné systémy. 2002. - č. 2(44). - s. 84-85.

37. Antimonov S.G. Intelektuálne konfrontácie v prvej línii Vírus-antivírus. // Informácie a bezpečnosť: Materiály medziregionálnej vedeckej a praktickej práce. conf. Informácie a bezpečnosť. - Číslo 2. - Voronež: VSTU, 2002. - S. 39-46.

38. Vorobyov V.F., Gerasimenko V.G., Potanin V.E., Skryl S.V. Návrh prostriedkov na stopovú identifikáciu počítačovej kriminality. Voronež: Voronežský inštitút Ministerstva vnútra Ruska, 1999. - 136 s.

39. Stopy počítačových zločinov / Voynalovich V.Yu., Zavgorod-niy M.G., Skryl S.V., Sumin V.I. // Abstrakty správ z medzinárodnej konferencie „Informatizácia systémov presadzovania práva“, 2. časť. M.: Akadémia manažmentu Ministerstva vnútra Ruska, 1997. s. 53-55.

40. Metodika vykonávania primárnych vyšetrovacích úkonov pri vyšetrovaní trestných činov v oblasti špičkových technológií. / Sushkov P.F., Kochedykov S.S., Kiselev V.V., Artemov A.A. Bulletin VI Ministerstva vnútra Ruska 2(9)“ 2001 - Voronež: VI Ministerstvo vnútra Ruska 2001. - S. 152-155.

41. Zvýšenie miery odhalenia počítačových zločinov // Bogachev S.Yu., A.N. Obukhov, P.F. Sushkov // Informácie a bezpečnosť. Vol. 2. - Voronež: VSTU, 2004. - S. 114 - 115.

42. Počítačové a technické preskúmanie protiprávnych konaní. // Sushkov P.F. // Bulletin Voronežského inštitútu Ministerstva vnútra Ruska. T. 4(19). -2004.-№4(19) - S. 52-55.

43. Mamikonov A.G., Kulba V.V., Shchelkov A.B. Spoľahlivosť, ochrana a zálohovanie informácií v automatizovaných riadiacich systémoch. M.: Energoatomizdat, 1986. - 304 s.

44. Sokolov A.V., Shangin V.F. Ochrana informácií v distribuovaných podnikových systémoch. M.: DMK Press, 2002. - 656 s.

45. Khasin E.V. Integrovaný prístup k monitorovaniu informačných a výpočtových systémov. // Vedecké zasadnutie MEPhI 2002: Materiály IX. Celoruskej vedeckej a praktickej konferencie. conf. - M.: MEPhI, 2002. - S. 110-111.

46. ​​​​Buslenko N.P. Modelovanie zložitých systémov / N.P. Buslenko. - M.: Nauka, 1978.-400 s.

47. Sovetov B.Ya. Modelovanie systémov: Učebnica pre vysoké školy špecializácie. „Automatizované riadiace systémy“ / B.Ya. Sovetov, S.A. Jakovlev. - M.: Vyššia škola, 1985. - 271 s.

48. Iglehart D.L. Regeneratívne modelovanie sietí front: Per. z angličtiny / D.L. Iglehart, D.S. Shedler. M.: Rozhlas a komunikácia, 1984. - 136 s.

49. Buslenko V.N. Automatizácia simulačného modelovania zložitých systémov / V.N. Buslenko. - M.: Nauka, 1977. - 239 s.

50. Tarakanov K.V. Analytické metódy na štúdium systémov / K.V. Tarakanov, L.A. Ovcharov, A.N. Tyryshkin. - M.: Sovietsky rozhlas, 1974. 240 s.

51. Vilkas E.J., Mayminas E.Z. Riešenia: teória, informácie, modelovanie. M.: Rozhlas a komunikácia, 1981. - 328 s. s. 91-96.

52. Princípy štruktúrovaného modelovania bezpečnostných procesov pre účelové informačné systémy. / P.I. Asjajev, V.N. Aseev, A.R. Mozhaitov, V.B. Ščerbakov, P.F. Sushkov // Rádiotechnika (časopis v časopise), 2002, č. 11.

53. Tatg U. Teória grafov: Prel. z angličtiny M.: Mir, 1988. - 424 s.

54. Ventzel E.S. Teória pravdepodobnosti. M.: Vydavateľstvo fyzikálnej a matematickej literatúry, 1958. - 464 s.

55. Zbierka vedeckých programov vo Fortrane. Vol. 1. Štatistika. New York, 1970. / Trans. z angličtiny M.: „Štatistika“, 1974. - 316 s.

56. Zaryaev A.V. Školenie špecialistov informačnej bezpečnosti: modely riadenia: Monografia M.: „Rádio a komunikácie“, 2003. - 210 s.

57. Kini P.JI., Raiffa X. Rozhodovanie podľa viacerých kritérií preferencie a substitúcie. M.: Rádio a komunikácia, 1981. - 560 s.

58. Larichev O.I. Veda a umenie rozhodovania. M.: Nauka, 1979.-200 s.

59. Jakovlev S.A. Problémy plánovania simulačných experimentov pri návrhu informačných systémov. // Automatizované systémy na spracovanie a správu údajov. L.: 1986. - 254 s.

60. Inteligentné technológie antivírusu Doctor Web. / JSC "Dialognauka". // Bezpečnostné systémy. 2002. - č. 2(44). - s. 84-85.

61. Encyklopédia počítačových vírusov. / ÁNO. Kozlov, A.A. Parandovský, A.K. Parandovsky M.: „Solon-R“, 2001. - 457 s.

62. Antivírusové programy Joela T. Patza / PC Magazine / ruské vydanie, 1996, č. 3 (46), s. 70-85.

63. Certifikačný systém pre nástroje informačnej bezpečnosti podľa požiadaviek informačnej bezpečnosti č. ROSS RU.OOI.OIBHOO. Štátny register certifikovaných nástrojov informačnej bezpečnosti. Oficiálna webová stránka Štátnej technickej komisie Ruska, 2004.

64. Skryl S.V. Modelovanie a optimalizácia fungovania automatizovaných kontrolných systémov orgánov vnútorných záležitostí v kontexte boja proti malvéru: Abstrakt dizertačnej práce Dr. tech. Sciences M.: Akadémia štátnej požiarnej služby Ministerstva vnútra Ruska, 2000. - 48 s.

65. Hodnotenie informačnej bezpečnosti v informačných a telekomunikačných systémoch. / Minaev V.A., Skryl S.V., Potanin V.E., Dmitriev Yu.V. // Ekonomika a výroba. 2001. - č.4. - s. 27-29.

66. Ventzel E.S. Operačný výskum M.: Sovietsky rozhlas, 1972 - 552 s.

67. Zadeh J1.A. Pojem lingvistickej premennej a jej aplikácia na aproximáciu rozhodovania. M.: Mir, 1976. - 168 s.

68. Pospelov D.A. Logicko-lingvistické modely v riadiacich systémoch. M.: Energia, 1981.-231 s.

69. Pospelov D.A. Situačný manažment: teória a prax. -M.: Nauka, 1986.-284 s.

70. Raifa G. Rozhodovacia analýza (úvod do problému voľby v podmienkach neistoty). M.: Nauka, 1977. - 408 s.

71. Modely rozhodovania založené na jazykových premenných / A.N. Borisov, A.V. Aleksev, O.A. Krumberg a kol. Riga: Zinatne, 1982. - 256 s.

72. Kofman A. Úvod do teórie fuzzy množín. M.: Rozhlas a komunikácia, 1982. - 432 s.

73. Fuzzy množiny v modeloch riadenia a umelej inteligencie. / Ed. ÁNO. Pospelov. M.: Nauka, 1986. - 312 s.

74. Akty implementácie výsledkov výskumu

75. Zástupca vedúceho oddelenia „K“ Ústredného riaditeľstva vnútra, policajný podplukovník1. Členovia komisie: čl. detektív oddelenia „K“ Ústredného riaditeľstva vnútra, policajný kapitán, detektív oddelenia „K“ Ústredného riaditeľstva vnútra, policajný poručík1. Sokolovský I.V.1. Povalukhin A.A.1. Razdymalin R.S.41. SCHVÁLIL SOM

76. Zástupca Vedúci oddelenia vnútorných vecí Tambovského kraja, policajný podplukovník1. Členovia komisie:1. B.J.I. Vorotnikov

77. Vedúci oddelenia „K“ ministerstva vnútra USTM Tambovskej oblasti, policajný major

78. Vyšší detektívny dôstojník na oddelení vnútorných vecí Ministerstva vnútra USTM v regióne Tambov, major polície1. R.V. Belevitin1. A.V. Bogdanov

Upozorňujeme, že vyššie uvedené vedecké texty sú zverejnené len na informačné účely a boli získané prostredníctvom rozpoznávania textu pôvodnej dizertačnej práce (OCR). Preto môžu obsahovať chyby spojené s nedokonalými rozpoznávacími algoritmami. V súboroch PDF dizertačných prác a abstraktov, ktoré dodávame, sa takéto chyby nevyskytujú.