Перейти до

Раз два - есть дыра или Как это было.


Рекомендованные сообщения

Раз два - есть дыра!

 

Как это было.

 

Еще в начале девяностых годов прошлого столетия человек, говорящий о компьютерных вирусах всерьез, легко принимался за сумасшедшего. Тематика, что и говорить, необычная, сродни космическим пиратам и звездным войнам. Вообще, сами слова "компьютерный вирус" в те годы были синонимом страшного, злого, кровожадного и уж никак не реального существа.

 

Любопытно, что у истоков появления этой зловредной компьютерной фауны стоят добропорядочные инженеры из американской компании Bell Telephone Laboratories. Они придумали совершенно невинную игру "Дарвин", предполагавшую присутствие в памяти вычислительной машины так называемого супервизора, определявшего правила и порядок борьбы программ-соперников разных игроков между собой. Программы имели функции исследования пространства, размножения и уничтожения, а смысл игры заключался в удалении всех копий программ противника и захват поля битвы.

 

Но нет, наверное, в мире теории, которую не пытались бы использовать на практике в неблаговидных целях. И первый компьютерный вирус Creeper не замедлил заявит о себе в начале 70-х годов в прототипе современного Интернета - военной копьютерной сети APRAnet. Creeper самостоятельно входил через модем в сеть, передавал свою копию удаленной системе и проявлялся жизнерадостным сообщением на экране: "I'M THE CREEPER ... CAHT ME IF YOU CAN". Некто, так и оставшийся мистером ИКС, для удаления этого в общем безобидного вируса создал контрпрограмму. Этот внешне малозначительный эпизод был, как теперь оказалось, началом нескончаемой битвы создателей вирусов и антивирусов.

 

Дальше все пошло уже по законам биологии - чем больше появлялось компьютеров и чем большее применение им находили, тем более активной становилась и жизнедеятельность компьютерной фауны. А вскоре произошла и первая в компьютерной истории массовая эпидемия. Вирус Elk Cloner на Apple II переворачивал изображение, заставлял мигать текст и выводил на экран самые разнообразные сообщения. Но прошло еще лет десять, прежде чем словосочетание "компьютерный вирус" стало термином, а родоначальник современной компьютерной вирусологии Фред Коэн дал ему научное определение, как программы, способной заражать другие программы при помощи их модификации с целью внедрения своих копий.

 

На Украине из-за значительного отставания в компьютерном оснащении почуствовали что такое компьютерный вирус только в конце ушедшего века. И произошло это 26 апреля 1998 года. Это был WinCIH, более известный под названием "Чернобыль". Первый вирус, определивший на конец апреля первую черную дату в домашнем компьютерном календаре. Вирус, убивающий компьютер на аппаратном уровне - во flash-память записывается всякая чушь, после чего винчестер не опознается компьютером. Вирус, в одно мгновенье превративший сотни тысяч людей в неудачников. Вирус, сделавший жизненно необходимой работу антивирусных компаний, заставивший заговорить о проблеме вирусов на телевидении и в прессе, а не за закрытыми для обычного пользователя дверями научных конференций. Все это WinCIH. О нем можно говорить долго, потому что мегабайты потерянной информации все еще вспоминаются с болью. Недописанные книги, бухгалтерские расчеты, программы, купленные за большие деньги и написанные за эти же деньги, но не отданные заказчику, уже не вернутся. Как не вернутся и винчестеры, тоже, кстати, небесплатные, угробленные вирусом навсегда. Потом был год, когда все шутили, что нужно перевести дату и посмотреть, не заражен ли компьютер. Все срочно ставили себе антивирусные программы, которые надежно ловили этот самый WinCIH. И все его модификации.

 

Но, тут вскрылась другая проблема. Видимо, учиться на чужих ошибках мы не умеем, а арифметику и историю ненавидим со школы. Так или иначе, 26-го апреля 1999 года у нас вновь случился компьютерный Чернобыль. Причем в этот раз уже вполне запланированный, газеты писали, но он все-таки случился. И вновь унес жизни тысяч винчестеров. Так что даже на год не хватило страха у людей после первого пришествия Вируса. В последующих годах случаев массового заражения Чернобылем отмечено не было, однако их могли просто не заметить из-за шумихи по поводу LoveLetter, более известным как I love you. Вообще создается впечатление, что авторы вирусов сговорились добивать нас в строго хронологическом порядке. После 26-го апреля в нашей стране отмечают Первое мая. И именно первое мая Love Letter начал свое победное шествие от "Москвы до самых до окраин". Точнее - из Филиппин (через Гонконг). А пришел он аж в Книгу рекордов Гиннесса, как самый разрушительный компьютерный вирус в мире. Всего за четыре дня вирус, мутировавший три раза, успел поразить 3,14 миллиона компьютеров, а ущерб от его действий оценивался в 1.54 миллиарда долларов США! Это как если бы у всех жителей Киева был свой компьютер, и вдруг компьютеров не стало ни у кого. Здесь не грех применить ненавистную арифметику - 3 миллиона на 4 дня - получается почти 790 тысяч компьютеров в день. Но то было только начало. Все следующее лето с упорством маньяков графоманы плодили братьев и сестер вируса. Сейчас насчитывается более 50 клонов монстра, но это число растет с каждым днем - уж больно привлекательна идея. Рядом с Loveletter даже WinCIH выглядит явным пигмеем.

 

Loveletter - интернет-червь, написанный на скрипт-языке Visual Basic Script. Распространяется в электронных письмах как вложение, и при поражении системы рассылает себя по всей(!) адресной книге пользователя с зараженного компьютера. Именно это и способствовало столь быстрому распространению эпидемии. Уже само название <интернет-червь> говорит о том, как прочно вошел Интернет в нашу жизнь. Электронная почта пробила еще одну брешь в обороне компьютера. Теперь уже мало просто следить за дискетами и компакт-дисками. Нужно защищаться глобально.

 

Заканчивая со статистикой приведем последние выкладки. По подсчетам специалистов зарубежных компаний суммарный урон от вирусов и закерских атак в 2000 году составил более $ 1,6 триллиона. Если сравнить эту цифру с 23 миилиардами в 1999 году, то потери возросли в 133 с лишним раза. И если предположить, что эта тенденция останется без изменений, то ... (посчитайте сами и почуствуйте значимость проблемы).

 

Как есть.

 

Если Вам, читатель еще не стало очевидно, что с вирусами нужно бороться, лучше читайте другую статью - все, что будет написано дальше - не для Вас. Вы остались? Продолжим.

 

Классификация вирусов.

Рассмотрим лишь те типы вирусов, поражение которыми реально сегодня, в начале 21-го столетия. Реально, а не относится к мизерным шансам и мнимым величинам.

 

Макровирусы - вирусы, заражающие файлы-документы редакторов из пакета Microsoft Office. Больше других этим грешат MS Word и MS Excel. Дело в том, что эти редакторы содержат встроенный макро-язык (Visual Basic), обладающий достаточными возможностями для выполнения практически любых команд (достаточно сказать, что встречаются даже самошифрующиеся макровирусы). При открытии зараженного документа макровирус перехватывает управление, заражает систему и затем позволяет пользователю делать с файлом все, что заблагорассудится. Далее, вирус будет запускаться при каждом вызове редактора и заражать все используемые документы. Для защиты недостаточно просто отключить использование макросов, некоторые макросы выполняются автоматически без согласия пользователя, поэтому такой вариант не всегда применим. Если же Вы опомнились уже после того, как Ваш MS Word был поражен вирусом, своими руками уже точно ничего не сделаешь, доступ к отключению макросов скорее всего перекрыт макровирусом. Ради справедливости отметим, что в Word и Excel есть свои встроенные системы борьбы с макровирусами. И ради этой же справедливости скажем - они почти бесполезны. Любопытно - достоверно известно о двух случаях, когда на сайте самой Microsoft оказывались файлы, зараженные макровирусами. Дополнительные комментарии излишни.

 

Интернет-черви. Здесь сложно сразу выделить какие-либо особенности вируса - это, скорее, классификация по способу размножения. Но нужно упомянуть о них, поскольку словосочетание достаточно часто встречается в публикациях, посвященных вирусам, а после LoveLetter - вообще у всех на слуху. Интернет-черви распространяются с помощью электронной почты, почти всегда с помощью MS Outlook, рассылая свои копии по адресной книге пользователя зараженного компьютера. В письмо вкладывается вложение (attachment), которое содержит заманчивое название, причем зачастую - файл имеет якобы неисполняемое расширение. Пользователь открывает такой файл и : Готово. Компьютер заражен. Это - лишь способ размножения, деструктивная же часть червя может выполнять любые действия, то есть быть как макровирусом, так и файловым вирусом. Вполне возможен гибрид LoveLetter с WinCIH. В последнее время интернет-черви прочно удерживают верхние места во всех мировых вирусных хит-парадах. Если же говорить применительно к Украине - настоящим "подарком" пользователям стал I-Worm MTX. Главная примечательность этого вируса - после заражения системы Вы не сможете ходить на сайты ведущих производителей антивирусного программного обеспечения, а также отправлять им письма по электронной почте. Очистить систему от его действия настолько сложно, что уж если заразились - проще переустановить Windows. На всякий случай.

 

Троянские кони. Эти, как и в старину, проникают за стены Трои под видом полезных программ, чтобы навредить. Чаще всего - украсть пароль доступа к Интернет, и заодно винчестер пользователю отформатировать. Хотя никто не мешает такой программе вместо того, чтобы форматировать винчестер или воровать пароли - пересылать файлы на какой-нибудь анонимный адрес в сети, где автор посмотрит и разберется - файлы могут и пригодиться. Не так давно был скандал в США, где троянец якобы уволок в Сеть планы наземной операции сил НАТО в Косово. Скорее всего, эта шумиха была очередной уткой, но американцы всполошились не на шутку. Несложно представить себе, что будет если вдруг пропадет секретное соглашение или еще что-либо в таком духе.

 

Программы удаленного администрирования. Так называемые backdoor программы действуют еще мощнее троянцев - они просто дают возможность хозяину управлять компьютером-жертвой, запускать процессы, копаться в содержимом и т.д. Конечно, все это возможно только тогда, когда жертва подключена к Сети, однако постоянно растущее количество выделенных линий делает написание таких <онлайновых> троянцев весьма перспективным занятием.

 

Ну и нельзя обойти вниманием java-апплеты, вредоносные active-x приложения и тому подобные вещи, неизменно присутствующие на хакерских сайтах, где предлагается получить бесплатный пароль для доступа в Интернет или проверить свой компьютер на вирусы прямо на лету.

 

Вышеперечисленная классификация весьма условна, она дает лишь начальное представление о том, что такое вирусы, и где они обитают. Более того, сегодня сложно найти хоть один <чистый> вирус, то есть - вирус, подпадающий под какой-либо из пунктов точно. Как правило - в реальном мире бродят мутанты - черви-макровирусы, черви-троянцы и т.д. I-Worm MTX вообще содержит три компоненты - во-первых он червь, во-вторых - файловый вирус, а в третьих - после установки в систему он пытается загрузить из Интернет свою backdoor-компоненту. К счастью, она написана с ошибками и не работает. Что, впрочем, не мешает авторам вируса исправить ее.

 

Теперь необходимо уделить внимание путям проникновения вирусов в систему. Вирусы попадают на компьютер вместе с другой, более полезной информацией. Следовательно, нужно определить, откуда же данные поступают к нам в систему. В неявном виде все пути проникновения были перечислены ранее. Остановимся на этом вопросе более подробно. Потому, что определяя направления информационных потоков в систему, мы тем самым выявим каналы поступления вирусов. И вирусы можно будет перехватывать уже на первом этапе. Затем необходимо разобраться с основными типами угроз - то есть с наиболее уязвимыми частями системы, частями, потенциально подверженными воздействию вирусов больше других, и способами влияния вирусов на эти части.

 

В незапамятные времена за программами и т.д. ходили друг к другу с трехдюймовыми дискетами. Потом - с CD ROM. Теперь необходимая информация большей частью приходит к нам через Интернет. Около 80 процентов информации попадает на пользовательский компьютер именно через всемироную паутину и почту. Нужно сразу оговориться, что не учитываются дистрибутивы операционных систем и пакетов типа MS Office - все это устанавливается с лицензионных CD ROM (либо с сервера в локальной сети). С CD ROM и дискет попадают остальные 20 процентов, но гегемоном является все же сеть. Поэтому и угроз следует ждать именно из Сети. Человеку, с Сетью не взаимодействующему, то есть - сидящему за отдельным локальным компьютером, никуда не подключенным жить намного легче - информация на его компьютер поступает только с CD, Zip, дискет. Достаточно лишь проверять антивирусом-сканером всю информацию с этих носителей перед использованием.

 

Если же компьютер подключен к Сети, опасность заражения многократно возрастает. Не нужно напоминать, что многие люди пользуются различными бесплатными программами, лежащими на FTP - в этом смысле ничего не изменилось с 80-х годов, и количество троянских коней попадающих в систему разве что выросло, за счет роста общего числа вредоносных программ. Отметим также, что переписка между большинством пользователей ведется следующим образом: сам текст письма в формате Microsoft Word вставляется как вложение в письмо. А пользуется это самое большинство Microsoft Outlook. Что способствует широкому распространению вирусов, являющихся комбинацией макровируса и интернет-червя. Ведь пользователь не удивляется, увидев вложение в письме, полученном от знакомого. Когда же этот пользователь открывает документ, он заражает свою систему, ну а потом уже либо он сам, либо вирус рассылает письма другим. В зависимости от этого мы и называем вирус либо червем либо помесью червя и макровируса. По скорости распространения на первом месте, естественно, Internet-черви. Это что касается Сети. Однако существуют и более традиционные, достаточно реальные пути заражения файлов с компьютеров общего пользования. Ну и через локальную сеть, конечно. Ведь если один пользователь заразил свой компьютер макровирусом, а потом сделал какой-либо из документов доступным для других пользователей локальной сети - эти пользователи также заражают свои компьютеры. Почему же такое широкое распространение получили именно макровирусы и черви? Ответ прост. Большинство, абсолютное большинство людей в мире предпочитает операционные системы Microsoft: Windows95, Windows98, Windows 2000, а теперь еще добавилась ХР. Далее, де-факто стандартом документа уже давно стал его вид в процессоре Microsoft Word, ну и Excel используется очень и очень часто. Так что ввиду широкого использования всего, что связано с Visual Basic, а также громадной популярности Microsoft Outlook проще всего распространяться макровирусам и червям. И получается, что самая уязвимая система на сегодня - это Windows 9x с установленным на ней Microsoft Office 97 и выше, да еще и с Outlook для полного комплекта. Именно этот джентльменский набор работает сегодня в большинстве офисов. Да, обязательно нужно добавить пристрастие к чатам и ICQ, которому подвержено большинство пользователей. Что создает дополнительные лазейки вирмейкерам.

 

Как должно быть.

 

Разобравшись с угрозами, переходим к защите. Защищаться нужно, конечно же, антивирусными программами, средствами диагностики, системными утилитами и еще более сложными программами с замысловатыми для обычного пользователя названиями, о которых позже. Только количество и сфера действия антивирусных программ разнятся так сильно, что порой способны довести нормального человека до состояния, близкого к помешательству. Поэтому придется разделиться - ведь защита корпоративной сети организации и защита домашнего компьютера - это совершенно разные задачи.

 

В последном случае достаточно установить один из антивирусных комплектов и регулярно обновлять его. Такой комплект обычно состоит из сканера-полифага, монитора, дискового ревизора. И, конечно же, программы автоматического обновления. Без обновлений Ваша антивирусная защита не будет стоить ломаного гроша - уже через неделю после покупки антивируса появится две-три сотни новых вирусов, и где гарантия, что эвристический анализатор обнаружит их? Кстати, по этой же причине не стоит покупать антивирусное программное обеспечение на базаре - как правило в таких версиях не работает автоматическое обновление. И уж однозначно новые версии продукта придется ломать заново. Так что Вы просто зря выкинете деньги на ветер. Что же касается работы антивирусного комплекта - о нем можно прочитать в первом уровне концепции антивирусной защиты, изложенной ниже. Если на Ваше домашнем компьютере храниться важная информация, которую Вы не хотите потерять навсегда, а тем более не желаете, чтобы она стала доступной еще кому бы то ни было, рекомендуем установить системные утилиты типа Norton Utilities и персональный Firewall.

 

Теперь поговорим о защите сетей. Сразу отметим, что решение с домашним компьютером здесь не проходит - все хорошо, когда в сети 4 компьютера, но если их количество равно сотне, у администратора антивирусной безопасности появляется куча проблем. Система защиты, построенная по принципу <сам себе администратор> создает множество трудностей и является практически неуправляемой. Где гарантия, что пользователи будут следить за обновлениями? И что они не выгрузят антивирусный монитор просто потому, что он мешает им играть в Counter Strike, или вообще не удалят его потому, что этот же Counter Strike на диск не влезает? И уж совсем недопустимо, если пользователь, зачастую слабо знакомый с вирусами, будет принимать критические решения, касающиеся безопасности системы - открывать или не открывать зараженный файл, запускать или не запускать Visual Basic скрипт, удалять или не удалять троянскую программу и т.д. Такие действия могут негативно отразиться не только на компьютере этого пользователя, но и аукнуться по всей системе.

 

Итак, необходима корпоративная Система Антивирусной Защиты (САЗ). Приведем здесь концепцию создания такой системы, разработанную специалистами компании "ЦЕБИТ" (Центр Банковских Информационных Технологий, г. Киев) и с успехом применяемую на практике.

 

Общие положения САЗ

 

Система антивирусной защиты в информационной - вычислительной сети является общей для всех информационных задач выполняемых в организации заказчика.

 

САЗ разрабатывается для использования в конкретной многоуровневой, локальной или корпоративной сети, согласно данным предоставленным заказчиком.

 

САЗ выполняет функции по защите серверов и рабочих станций от атак компьютерных вирусов и перекрывает все возможные пути проникновения вирусов в информационной - вычислительную сеть заказчика:

 

С гибких носителей;

С Компакт- дисков;

Почты Internet;

Файлов, которые приходят из Internet;

C рабочих станций;

Почты Intranet;

 

САЗ состоит из программных методов защиты и имеет три уровня защиты.

 

Первый уровень - на уровне рабочих станций и мобильных компьютеров. На каждой рабочей станции должна быть установлен комплект антивирусных программ (АВ). На рабочих станциях использующих ОС MS-DOS должен быть установлен антивирусный сканер и дисковый ревизор, который автоматически проверят компьютер при его включении и создает список-отчет об изменившихся и новых файлах, которые необходимо проверить антивирусным сканером. Использование совместно сканера и ревизора позволит усилить степень проверки и значительно уменьшит время работы АВ комплекта (в некоторых случаях до 80%). АВ комплект устанавливаемый на компьютерах с многозадачными операционными системами (Windows 95/98/NT) должен иметь в своем составе антивирусный монитор, который запускается при включении компьютера и работает постоянно, в фоновом режиме без существенного замедления работы системы в целом или отдельных ее приложений, а так же антивирусный сканер который осуществляет проверку по запросу.

 

Второй уровень - антивирусная защита серверов локальной сети. Антивирусные средства, используемые на этом уровне, должны предоставлять возможность проверки в реальном режиме времени (фоновом режиме) и проверку по запросу пользователя, что защищает данные при передаче с серверов Novell Netware, Windows NT/2000 Server, Unix и обратно. Работа антивируса на сервере должна быть устойчивой, надежной и эффективной. Антивирусная программа должна иметь возможность блокировать попытки записи зараженных, подозрительных файлов на сервер. Каждая такая попытка должна фиксироваться в протоколах, отчетах антивирусной программы с указанием имени зараженного файла и пути к нему. Информация о таких попытках должна немедленно отсылаться администратору сети и на рабочую стацию с которой производилась попытка записи зараженных, подозрительных файлов. Ведение отчетов, должно осуществляется централизовано и гибко, с наличием возможности посылать предупреждения администраторам сети о вирусных атаках.

 

Третий уровень - Администраторы должны иметь возможность управлять потоком принимаемых и отправляемых файлов по электронной почте или через Интернет в сети при помощи антивирусов для брандмауэров и почтовых серверов на базе SMTP, где вся информация тоже проверяется на вирусы. Немаловажный факт заключается в том, что средства антивирусной защиты для почтовых систем на базе SMTP и брандмауэров являются первой линей обороны -они перехватывают и уничтожают <приходящие> вирусы в режиме реального времени прежде, чем они попадут в локальную сеть и начнут свое разрушающее действие. При такой организации работы системы антивирусной безопасности уже сам факт проникновения вируса в систему становится чем-то из ряда вон выходящим.

 

ПРАВА И ОБЯЗАННОСТИ ПОЛЬЗОВАТЕЛЕЙ СИСТЕМЫ АНТИВИРУСНОЙ ЗАЩИТЫ.

 

Все пользователи локальной сети заказчика имеют право использовать ресурсы программного обеспечения системы антивирусной защиты.

 

Администраторам локальной сети рекомендуется регулярно проводить процедуру резервного копирования информации серверов на внешние носители.

 

Пользователям на рабочих станциях рекомендуется регулярно делать копии своих файлов в которых содержится важная информация на сервер в собственную папку или на внешний носитель.

 

ИНФОРМАЦИОННАЯ И ТЕХНИЧЕСКАЯПОДДЕРЖКА СИСТЕМЫ АНТИВИРУСНОЙ ЗАЩИТЫ.

 

Во-первых - это рекомендации к покупке нужного программного обеспечения - ведь универсального антивирусного решения на сегодняшний день не существует. Все зависит от конкретной топологии конкретной сети, от затрат, уровня защиты и т.д.

 

Во-вторых - помощь при установке программного обеспечения, настройке работы системы антивирусной безопасности и обновлений антивирусных баз. Возможность организации пилотного проекта, обучение администратора и т.д.

 

В-третьих - быстрое и грамотное решение всех проблем, возникающих у администратора антивирусной безопасности в процессе работы системы.

 

Все эти вопросы лучше всего поручить специалистам.

 

 

 

Заказчик должен назначить лицо или группу лиц ответственных за поддержку работоспособности САЗ в своей локальной сети.

 

Для обеспечения наиболее полной поддержки САЗ в локальной сети, при необходимости, должен быть смонтирован том (ANTIVIRUS) в котором будут находиться папки с дистрибутивами антивирусных программ входящих в состав САЗ и папки с обновлениями (апдейтами, билдами, новыми вирусными базами), руководства пользователя по использованию АВ программ. Из этого тома будут производиться установки АВ программ на РС локальной сети.

 

Администратором сети должны регламентироваться права доступа к тому (ANTIVIRUS) и папкам находящимся в нем. Пользователи не должны иметь право записи в папки содержащие дистрибутивы АВ программ.

 

Администратором сети Должен быть определен e-mail адрес на который САЗ будет слать уведомления о вирусных проявления, в локальной сети.

 

Теперь оставим защиту антивирусную и перейдем к защите сети от хакерских атак.

 

Если сравнить ущерб, причиненный украинским компаниям вирусами и хакерами, то последние явно проигрывают. Не вводите себя в заблуждение, причина этого не в эффективной защите отечественных компаний, а в том, что Украина находится пока еще на задворках информационного мира. Нас практически не затрагивают информационные войны, а web-сервера и локальные сети украинских компаний - слишком мелкая дичь для Internet преступников и хулиганов: ни денег, ни славы. Другое дело вирусы. Для них не существует границ и рангов, домашний ПК обычного украинца является не менее лакомым куском, чем корпоративный сервер General Motors. А значит в равной мере достается и всем остальным.

 

Важно понимать, что расстановка сил на информационном фронте меняется с каждым днем и, в конечном итоге, мы следуем за западом, а не наоборот. Так вот, если заглянуть за нашу западную границу, то можно увидеть, что бесчинствуют вирусы и там, но доля невирусных атак существенно выше. Больше, следовательно, и внимание к этому вопросу. Поэтому они уже поняли, что закупать разнородное программное обеспечение для закрытия каждой дыры в системе защиты неэффективно и, в конечном счете, невыгодно. И что оптимальными решениями на сегодняшний день являются комплексные решения, которые учитывают сложную связь между объектами информационной системы и способны адаптироваться под конкретную конфигурацию для обеспечения максимальной защищенности информационных ресурсов.

 

Едва ли стоит объяснять важность защиты коммерческой, служебной и банковской информации. И все же хочется отметить ряд моментов. Бумажная эра уже практически канула в Лету. На сегодняшний день большинство коммерческих операций осуществляются в электронном виде, в тесном взаимодействии с сетевыми технологиями. Поэтому вопросы сетевой и Internet- безопасности так важны для предприятий и организаций всех видов деятельности. Не менее, если не более важны классические аспекты защиты информации: конфиденциальность, целостность, доступность и регистрируемость. Поэтому приходится признавать, что только грамотно построенная, комплексная, интегрированная система защиты способна удовлетворить всем требованиям относительно скорости и надежности.

 

Какие же технологии используются для построения комплексных систем защиты информации. Разговор об них следует начинать с описания угроз, которые эти технологии призваны нейтрализовать. Введем классификацию. С одной стороны, угрозы следует разделить на локальные и удаленные. Локальные угрозы могут быть реализованы независимо от подключения компьютера к сети, в то время как удаленные используют для атак недостатки в проектировании и реализации сетевых решений. Используемые в первом и втором случае методы, в определенных случаях совпадают, но все же достаточно различны, чтобы оправдать деление. С другой стороны, угрозы можно делить на умышленные и случайные. Термины достаточно условны. К первой категории относятся те угрозы, реализация которых связана с определенными злоумышленными действиями, ко второй же те, которые могут осуществляться спонтанно и возможны из-за низкого качества ПО или аппаратных средств. Яркий пример - нестабильная работа ОС MS Windows 95, из-за которой были потеряны гигабайты информации без всякого постороннего вмешательства. Вне зависимости от ранга и типа угроз, всем им следует уделить должное внимание.

 

Начнем с локальных спонтанных угроз. К таковым относятся сбои в работе аппаратных средств, проблемы аппаратной и программной совместимости, неэффективное использование системных ресурсов. Последнее относится к угрозам по той причине, что замедляет работу информационной системы, увеличивает время доступа к информации и, таким образом, представляет собой угрозу доступности. Более того продуктивная работа всей системы защиты напрямую зависит от эффективности использования информационных ресурсов. Забегая наперед, приведем пример. Если персонал, отвечающий за антивирусную защиту, по причинам перегрузки сетевых соединений или нестабильной работы сервера не получит вовремя уведомление об обнаружении симптомов вирусной эпидемии, ущерб существенно превысит те средства, которых хватило бы для предотвращения подобной ситуации.

 

"Защитой" от локальных спонтанных угроз являются средства диагностики и системные утилиты, такие как CheckIt, Norton Utilities, McAfee Tools и др. Они предоставляют широкий спектр услуг по диагностике и решению проблем. Однако все они обладают существенным недостатком: они локальны. Как будет видно в дальнейшем, ключевым фактором эффективного применения той или иной технологии в информационной системе является централизация средств управления. Видимо, сетевой подход к системным утилитам еще впереди.

 

Локальные умышленные угрозы. Незаслуженно забыты в свете всеобщей суматохи и шумихи поднятой вокруг сетевых червей и хакеров, способных через глобальную сеть получить доступ к любой конфиденциальной информации. Зачастую гораздо проще похитить ценную информацию не с помощью сложных удаленных манипуляций, а путем "физического" вторжения и похищения носителей. Причем под вторжением здесь следует понимать не вооруженный грабеж, а нелояльных сотрудников, "случайных" посетителей, оставленных один на один с активной консолью, персонал компаний предоставляющих услуги по обслуживанию техники, а также обычных электриков, уборщиков и всех тех, на кого распространяется обширный термин - "человеческий фактор". Пожалуй единственным на сегодняшний день способом уберечь себя от подобного рода атак являются (преимущественно аппаратные) средства защиты от несанкционированного доступа подобные Decros Protect, основой для которых служат криптографические преобразования. Не вдаваясь в подробный перечень всех возможностей таких систем, отметим ключевые эффекты от их использования. Без наличия аппаратного ключа или знания пароля пользователь не может даже загрузить компьютер. Физическое похищение носителя информации бессмысленно, поскольку все чувствительные данные хранятся в зашифрованном виде, а ключи, используемые при шифровании, находятся на персональных внешних носителях (тоукенах). Специализированные защищенные протоколы позволяют осуществлять удаленное администрирование рабочих станций, блокируя работу в случае подозрения на несанкционированный доступ. Более того, использование встроенных аппаратных реализаций криптоалгоритмов позволяет сохранить неизменной скорость работы системы, в противовес ожидаемому снижению производительности.

 

От угроз локальных к угрозам удаленным. Обилие вирусов и хакеров объясняется в первую очередь низкой вероятностью обнаружения злоумышленника. Компаниям, пострадавшим от удаленных атак, как правило не кому даже выставить иск о возмещении убытков, а риск настолько велик, что страховые компании еще не скоро придут на этот рынок. Выход из ситуации только в применении современных технологий защиты, причем не разрозненно а в комплексе. На сегодняшний день существует четыре основных подхода к сетевой и Internet-защите.

 

Это, во-первых, фильтрация поступающей информации, как извне, так и наоборот из локальной сети в мир. На этом принципе построены так называемые брандмауэры, более широко известные как "firewall'ы". Решения подобного типа делятся на программные и аппаратные. Последние более дорогостоящи, но обладают большими мощностями и поэтому используются преимущественно в качестве корпоративных firewall'ов. Они устанавливаются между Internet'ом и шлюзом, образуя первый рубеж обороны. Это позволяет оградить локальную сеть от информации, поступающей с неблагонадежных адресов Internet и наоборот предотвратить утечку информации с определенных адресов в локальной сети, препятствуя их выходу за пределы компании. Другой важной задачей аппаратных firewall'ов является нейтрализация атак на отказ в обслуживании (Denial of Service). Одни из самых простых с точки зрения реализации, эти атаки являются и одними из самых опасных. На долю программных firewall'ов приходится как правило защита локальных станций. В больших организациях использование на всех рабочих станциях персональных firewall'ов не только расточительно, но и практически бесполезно, так как требует от всех сотрудников определенного уровня квалификации для поддержания защиты на должном уровне. Однако использование единой консоли управления позволяет эффективно решить эту проблему с привлечением минимума дополнительных средств. Функции программных firewall'ов как правило еще и более разнообразны. Они способны осуществлять фильтрацию на основе содержания поступающих пакетов и, тем самым, свести шансы на успешную реализацию удаленных атак к минимуму.

 

Другим подходом к решению проблемы удаленных атак является устранение причин, которые делают их осуществимыми. Каждая удаленная атака использует одно или несколько слабых мест в программном обеспечении, называемых уязвимостями. Следовательно для предотвращения атак нужно устранить уязвимости. Именно эту возможность реализуют сканеры безопасности. Они тестируют используемое ПО на предмет наличия уязвимостей одним из следующих способов: определяют версию ПО и указывают известные для этих версий дыры в безопасности, производят анализ кода в поисках характерных для некоторых уязвимостей участков, непосредственно осуществляют удаленные атаки и по произведенному эффекту судят о наличии слабых мест. Помимо обнаружения недостатков в системе защиты сканеры предоставляют подробную информацию о них, рекомендации по устранению и, в некоторых случаях, даже автоматически ставят патчи.

 

Третий подход основан на определении атаки по ее внешним признакам. Работающие таким образом мониторы безопасности анализируют системные события и проходящие по сети пакеты с целью вовремя выявить подозрительные действия и информировать о них соответствующий персонал. Этот подход пассивен, т.е. не способен противостоять нападению, но абсолютно незаменим, так как является единственным способом обнаружить успешную атаку. Описанные ранее методы позволяют предотвратить многие атаки, но не способны просигнализировать об успешной попытке.

 

Наконец еще один метод позволяет одновременно и предотвратить негативный эффект от удаленной атаки и зафиксировать ее в момент проведения. Специальное ПО эмулирует работающую локальную сеть с серверами, рабочими станциями и маршрутизаторами, создавая у злоумышленника иллюзию успешной атаки. На самом деле он пытается атаковать несуществующие машины, в то время как персонал обеспечивающий безопасность сети может отследить его собственный сетевой адрес.

 

Совместное использование всех этих подходов делает судьбу хакера крайне незавидной. Нелегкой может оказаться и работа администратора. Но только в том случае, если все продукты приходится настраивать и обслуживать отдельно. При использовании же единой комплексной системы, интегрирующей все выше перечисленные технологии, персонал имеет возможность задать общую политику безопасности, используя преимущества всех модулей наиболее эффективным образом.

 

В заключение скажем, что уже готовые решения по созданию Системы Антивирусной Защиты и средства безопасности сетей и информации имеются практически у каждого серъезного производителя антивирусного программного обеспечения. Это - ЗАО "Лаборатория Касперского", ЗАО "Диалог-Наука", Symantec, TrendMicro, Deerfield, ALT-N Technologies, Network Associates, Sophos. Однако, сразу же порекомендовать чью-то САЗ как явно превосходящую другие по качеству нельзя - все зависит от особенностей данной компьютерной конкретной сети, используемого программного обеспечения и многих других немаловажных факторов. Более того, зачастую оптимальным является использование нескольких антивирусов на разных уровнях защиты. Поэтому если Вы хотите грамотно и качественно защитить свою сеть от вирусных атак - не стоит надеяться на угадайку и авось. Лучше обратиться за советом к специалистам.

 

Авторы статьи:

 

 

Андрей Войтенко, Руководитель Антивирусной лаборатории компании "ЦЕБИТ"

 

Евгений Лесов, Главный менеджер компании "АВЦ-Днепр"

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...