Методы и системы защиты информации.

Подтверждение подлинности пользователей и разграничение их доступа к компьютерным ресурсам. Должны быть предусмотрены следующие этапы допуска пользователей в ВС: 1) идентификация; 2) установление подлинности (аутентификация); 3) определение полномочий доступа к компьютерным ресурсам.

Идентификация необходима для указания уникального идентификатора пользователя с целью: установления подлинности и определения полномочий пользователя при его допуске в ВС; контроля установленных полномочий и регистрации заданных действий пользователя в процессе сеанса работы; учета обращений к ВС. Идентификатор должен быть заранее зарегистрирован в ВС администратором службы безопасности.

Контроль доступа к аппаратуре. Внутренний монтаж аппаратуры, технологические органы и пульты управления должны быть закрыты физически и на них установлены соответствующие датчики. При вскрытии аппаратуры оповещающие сигналы должны поступать на центральный пульт сигнализации. С позиций НСД контроль вскрытия аппаратуры срабатывает при: изменении внутренних схем; подключении постороннего устройства; использовании технологических пультов и органов управления для изменения алгоритма функционирования системы; загрузке посторонних программ и внесения «вирусов» в систему; доступе посторонних лиц к терминалам.

Использование простого пароля. Последовательности действий процедуры опознавания по простому паролю следующая [18]: пользователь посылает запрос на доступ к системе и вводит свой идентификатор; система запрашивает пароль; пользователь вводит пароль; система сравнивает полученный пароль с паролем пользователя, хранящимся в базе эталонных данных системы защиты и разрешает доступ, если пароли совпадают; в противном случае пользователь к ресурсам системы не допускается. Поскольку пользователь может допустить ошибку при вводе пароля, то системой должно быть предусмотрено допустимое количество повторений для ввода пароля. Пароли следует хранить только зашифрованными, используя как обратимое, так и необратимое шифрование.

Использование динамически изменяющегося пароля. Методы проверки подлинности на основе динамически изменяющегося пароля обеспечивают большую безопасность, так как пароль для каждого пользователя меняется ежедневно или через несколько дней. Правила смены зависят от метода: методы модификации схемы простых паролей; метод «запрос-ответ»; функциональные методы. Наиболее эффективны функциональные методы.

Методы модификации схемы простых паролей. К методам модификации схемы простых паролей относят случайную выборку символов пароля и одноразовое использование паролей. При первом методе каждому пользователю выделяется достаточно длинный пароль, причем каждый раз для опознавания используется только некоторая его часть. Система запрашивает у пользователя группу символов по заданным порядковым номерам. Количество символов и их порядковые номера для запроса определяются с помощью датчика псевдослучайных чисел. При одноразовом использовании паролей каждому пользователю выделяется список паролей. В процессе запроса номер пароля, который необходимо ввести, выбирается последовательно по списку или по схеме случайной выборки. Недостатком методов модификации схемы простых паролей является необходимость запоминания пользователями длинных паролей или их списков. Запись же паролей на бумагу или в записные книжки приводит к появлению риска потери или хищения носителей информации с записанными на них паролями.

Методы идентификации и установления подлинности субъектов и различных объектов. При обмене информацией рекомендуется в любом случае предусмотреть взаимную проверку подлинности полномочий объекта или субъекта. Если обмен информацией производится по сети, то эта процедура должна выполняться обязательно. Для этого необходимо, чтобы каждому из объектов и субъектов присваивалось уникальное имя. Каждый из объектов (субъектов) должен хранить в своей памяти (недоступной для посторонних лиц) тот список, в котором находятся имена объектов (субъектов), с которыми будут производиться процессы обмена защищаемыми данными.

Своевременное обнаружение несанкционированных действий пользователей. Своевременное обнаружение фактов несанкционированных действий пользователей основано на выполнении следующих функций: периодический КЦ информации; регистрация и сигнализация; контроль правильности функционирования системы защиты. Периодический КЦ конфиденциальной информации позволяет своевременно обнаружить попытки подлога и потери данных, а системной – внедрение программных закладок и компьютерных вирусов. Регистрация здесь предполагает фиксацию и накопление сведений о всех запросах, содержащих обращения к защищаемым компьютерным ресурсам, включая доступ в ВС и завершение сеанса работы пользователей. Сигнализация в этом случае состоит в своевременном уведомлении соответствующих компонентов системы защиты и администрации об обнаруженных несанкционированных действиях. Контроль правильности функционирования системы защиты обеспечивает эффективность защиты.

Общие сведения о контроле информационной целостности. Под КЦ данных, хранимых в ВС или передаваемых по каналам связи, понимается обнаружение их любых случайных или несанкционированных изменений. Периодическому КЦ должна подвергаться вся конфиденциальная и системная информация, хранящаяся в ВС. Программы КЦ целесообразно активизировать в процессе загрузки ОС. Передаваемая по каналам связи информация должна подвергаться КЦ после каждого приема этой информации получателем. Предварительно определяется характеристика целостной (эталонной) информации, называемая эталонной характеристикой или эталонным кодом обнаружения модификаций. Для высокой эффективности использования она должна быть по объему значительно меньше контролируемой информации, и ее значение должно зависеть от содержимого и очередности всех двоичных блоков защищаемых от модификации данных. В зарубежной литературе эталонную характеристику называют МАС-кодом (message authentication code). В процессе непосредственного КЦ выполняются следующие действия: для контролируемой информации определяется текущая характеристика обнаружения модификаций; текущая и эталонная характеристики сравниваются, и если они совпадают, то считается, что информация не подвергалась изменению. Для объективности заключения необходимо, чтобы метод, используемый для формирования характеристик, обеспечивал чрезвычайно малую вероятность изменения данных с совпадением текущей и эталонной характеристик. Эталонная характеристика должна храниться или передаваться вместе с контролируемыми данными.

Способы определения модификаций информации. Для определения случайных модификаций информации ее эталонная характеристика может быть открытой для доступа. Формирование характеристики обнаружения модификаций может осуществляться в соответствии со схемой последовательного контрольного суммирования по операции исключающего ИЛИ (XOR) двоичных блоков. Для определения не только случайных, но и преднамеренных модификаций информации ее эталонная характеристика должна защищаться криптографическими методами или формироваться на основе криптографических преобразований. Наиболее часто используются два способа формирования характеристики обнаружения модификаций на основе криптографических преобразований: метод шифрования в режиме объединения и метод вычисления хэш-функции. При доступе к зашифрованному информационному объекту выполняются следующие действия: после ввода ключа этот объект расшифровывается; для определения его целостности вычисляется текущая характеристика обнаружения модификаций; полученная текущая характеристика сравнивается с эталонной, хранящейся вместе с зашифрованным информационным объектом, и при их совпадении выдается сообщение, что информация не подвергалась изменению. После расшифровывания информационного объекта при непосредственном КЦ вычисленное текущее значение хэш-функции сравнивается с эталонным, хранящимся вместе с зашифрованными данными. Стойкость данной схемы основана на стойкости блочного шифра, для которого по известным входному и выходному сообщениям нельзя вычислить ключ. Если бы ключ можно было вычислить, то хэш-функция не обладала бы необходимой стойкостью, т.е. допускала бы модифицирование информации без изменения значения хэш-функции. Подсистема КЦ (подсистема обеспечения эталонного состояния рабочей среды ВС) является неотъемлемым компонентом любой специализированной системы ЗИ. Наиболее надежные системы ЗИ, например «Кобра», обеспечивают также автоматическое восстановление основных компонентов рабочей среды (содержимого CMOS-памяти, главной загрузочной записи винчестера, включая его таблицу разделов, загрузчика DOS, CONFIG.SYS, AUTOEXEC.BAT и т.д.). Для КЦ также можно использовать антивирусные ревизоры, обеспечивающие КЦ не только программ, но и файлов данных.

Организация контроля. При установке и использовании программных средств КЦ выполняются следующие этапы:

1. Тщательный анализ всех файлов конфигурирования и настройка на отсутствие вызовов несанкционированных программ. При обнаружении такие вызовы следует удалить, а также установить и устранить причину их появления.

2. Тщательный анализ ВС на наличие вирусов и полное обезвреживание обнаруженных вирусных программ с помощью обновленной версии тран­зитного сканера. Для большей эффективности целесообразно независимое применение нескольких различных сканеров.

3. Установка требуемых режимов и параметров рабочей среды.

4. Формирование с помощью специализированной программы, например ревизора, следующих эталонных характеристик рабочей среды: содержимого загрузочных секторов жестких дисков; содержимого CMOS-памяти; контрольных сумм содержимого файлов конфигурирования и настройки, например файлов AUTOEXEC.BAT, CONFIG.SYS, MNI для MS-DOS/Windows З.ХХ, а также SYSTEM.DAT и USER.DAT для Windows 95/98/ME; контрольных сумм или описания структуры содержимого оперативной памяти; информации о количестве и расположении сбойных кластеров жестких дисков (некоторые вирусы размешают свои тела в свободных кластерах, помечаемых затем этими вирусами как сбойные); контрольных сумм содержимого файлов с программами, а также их системных характеристик (пути, даты и времени создания, длины, значений атрибутов, а при необходимости, и адресов физического расположения); контрольных сумм и системных характеристик файлов с конфиденциальными данными.

5. Периодическая проверка специализированной программой, например ревизором, соответствия реальных характеристик элементов ВС их эталонным ха­рактеристикам. В зависимости от возможностей специализированной программы контроля могут использоваться следующие виды периодических проверок: строго периодическая, например ежедневная, при которой проверяются все элементы ВС, для которых созданы эталонные характеристики; в режиме реального времени, при которой осуществляется проверка контролируемых элементов только при попытке их использования, например при попытке запуска программ и открытия документов.

Особенности использования программ непосредственного контроля. Программы, предназначенные для непосредственного контроля соответствия текущих характеристик элементов данных их эталонным характеристикам могут функционировать транзитно и резидентно. Транзитные программы контроля загружаются в оперативную память только для выполнения проверок. Резидентные программы после запуска остаются в оперативной памяти и проверяют контролируемые элементы при возникновении с ними определенных событий (открытие документов, запуск и модификация программ, копирование, создание, переименование файлов и т.д.). Наибольшая результативность достигается при совместном использовании транзитного и резидентного средства. Использование резидентной программы контроля приводит к снижению быстродействия ВС. Для транзитной программы контроля должны быть предусмотрены следующие режимы: первый запуск для формирования эталонных характеристик после поиска и обезвреживания вирусов транзитным сканером и проверки файлов конфигурирования на отсутствие вызовов программных закладок; ежедневный запуск в процессе загрузки ОС для проверки всех контролируемых информационных объектов (в оперативной памяти, а также на всех логических дисках) и по мере необходимости для формирования эталонных характеристик созданных или обновленных файлов с конфиденциальной и системной информацией; запуск по мере необходимости для формирования эталонных характеристик программ, поступающих извне, после проверки их транзитным сканером. Для активизации строго периодического запуска транзитной программы контроля может использоваться резидентная программа-планировщик. Запуск резидентной программы контроля для ее постоянного нахождения в оперативной памяти должен осуществляться в процессе загрузки ОС. Недостатком программ КЦ является требовательность к пользователям, так как пользователями или администраторами не всегда вовремя обновляются эталонные данные. Но этот недостаток с лихвой компенсируется значительным повышением степени защищенности от подлога и потери данных, а также внедрением программных закладок и компьютерных вирусов.

Регистрация действий пользователей. Подсистема регистрации представляет собой совокупность средств, используемых для регулярного сбора, фиксации и выдачи по запросам сведений обо всех обращениях к защищаемым компьютерным ресурсам, а также доступе в ВС и выходе из нее. Для защиты от сбоев и отказов регистрируются также сведения обо всех действиях пользователей и программ по модификации данных на внешних носителях. Основной формой регистрации является программное ведение специальных регистрационных журналов на внешних носителях информации. Рекомендуется фиксировать: время поступления запроса; идентификаторы запрашивающего пользователя и компьютера (терминала); содержание сообщения запроса; реквизиты защиты (полномочия пользователей, пароли, коды, ключи и др.) при запросе; время окончания использования ресурса.

Контроль правильности функционирования системы защиты. Периодический контроль правильности функционирования защитных подсистем предполагает периодическое выполнение: проверки наличия требуемых резидентных компонентов системы защиты в оперативной памяти; контроля всех программ системы ЗИ на соответствие эталонным характеристикам (контрольным суммам); проверки корректности параметров настройки функционирования системы ЗИ, располагаемых как в оперативной, так и во внешней памяти; контроля корректности эталонной информации (идентификаторов, паролей, ключей шифрования и т.д.).

При проверке корректности модификации параметров настроек системы защиты подсистема контроля не должна допустить установку параметров, противоречащих ПБ.

Регистрация данных о функционировании системы ЗИ предполагает фиксацию и накопление информации о действиях всех подсистем защиты, администраторов и пользователей других категорий по использованию защитных средств. Должен быть обеспечен и периодический анализ накопленной информации для свое­временного определения недопустимых действий, а также прогнозирования степени ИБ. Предварительно должны быть определены принципы ПБ: допустимо все, что не запрещено; запрещено все, что явно недопустимо. Надежнее определить все действия, которые разрешены, и запретить все остальные.

При обнаружении подсистемой контроля любых нарушений в правильности функционирования подсистемы защиты должно быть выполнено немедленное уведомление соответствующей службы безопасности.

Защита информации в ИС на примере отдельного ПК. Подходы к ЗИ в ПК аналогичны рассмотренным выше. Однако ПК присущи благоприятствующие и затрудняющие ЗИ свойства: малые габариты и вес, что делает их легко переносимыми; наличие встроенного внутреннего ЗУ большого объема, сохраняющего записанные данные после выключения питания; наличие сменного ЗУ большого объема и малых габаритов; наличие устройств сопряжения с каналами связи; оснащенность ПО с широкими функциональными возможностями; массовость производства и распространения; низкая стоимость. Все это создает предпосылки для массового распространения ПК, повышения интенсивности циркуляции информации, децентрализации процессов ее хранения и обработки, изменения структуры и содержания ИТ. В ИС на больших ЭВМ, наряду с ЗИ непосредственно в ЭИС такое же или большее значение имеет общая организация ЗИ: организация и обеспечение технологических процессов циркуляции и обработки потоков информации; охрана территории, зданий и помещений; подбор, обучение и организация работы персонала и т.п. Основные вопросы ЗИ, как правило, решают специалисты-профессионалы в области ЗИ. Для ПК же, во-первых, вопросы общей организации ЗИ могут быть решены физической изоляцией (например, размещением ПК в отдельной комнате, закрываемой на замок), поэтому превалирующую роль играет внутренняя защита, во-вторых, в большинстве случаев заботу о ЗИ должны проявлять сами пользователи, которые не только не являются профессионалами в области ЗИ, но нередко имеют лишь навыки решения ограниченного набора задач. Этими особенностями и обусловлена необходимость самостоятельного рассмотрения вопросов ЗИ в ПК с акцентированием внимания именно на внутренней ЗИ.

Основные цели ЗИ: обеспечение физической и логической целостности; предупреждение несанкционированного получения, модификации, копирования информации. Обеспечение логической целостности информации для ПК малоактуально, другие же цели применительно к ПК могут быть конкретизированы следующим образом.

Физическая целостность зависит от целостности самого ПК, дисков и дискет, информации на дисках, дискетах и полях оперативной памяти. Особое значение имеют угрозы, связанные с невысокой квалификацией владельцев ПК, в частности, возможность уничтожения или искажения данных на жестком диске самим пользователем.

Предупреждение несанкционированной модификации. Весьма опасны компьютерные вирусы в связи с практикой обмена дискетами.

Предупреждение несанкционированного получения информации, находящейся в ПК особо актуально, когда информация содержит тайну того или иного характера (государственную, коммерческую и т.п.). Данный вид ЗИ требует серьезного внимания.

Предупреждение несанкционированного копирования информации актуально, т.к. накопленные массивы информации все больше становятся товаром; все более широкое распространение получает торговля компьютерными программами; накопители на гибких МД и оптические дисководы с перезаписью благоприятны для копирования информации.

Угрозы информации в ПК:

Особенности архитектурного построения и способов использования ПК позволяют конкретизировать значительную часть угроз (каналов утечки) информации. Для ПК каналы классифицируют по типу средств получения информации: человек (хищение носителей информации, чтение или фотографирование информации с экрана и распечаток); аппаратура (подключение к устройствам ПК аппаратуры для уничтожения или регистрации информации, регистрация электромагнитных излучений устройств ПК); программа (программный НСД, закладки или ловушки, чтение остаточной информации из ОЗУ, программное копирование информации с магнитных носителей).

Места нахождения защищаемых данных следующие: системные платы ПК; накопители на гибких магнитных дисках (НГМД); «Винчестер»; дисплей; печатающее устройство; каналы сопряжения. Носители информации могут быть персонального, группового и общего использования. Исходные характеристики элементов защиты: возможные объемы и продолжительность пребывания в них информации; возможные угрозы информации и средства защиты. Значения этих характеристик для всех элементов защиты целесообразно свести в специальный каталог. Каждый пользователь может составить перечень угроз его информации и решать вопросы надежной ее защиты.

Раздел 4: Криптографические методы защиты информации

Методы криптографического преобразования данных. Криптографические методы ЗИ в ЭИС могут применяться как для ЗИ, обрабатываемой в ЭВМ или хранящейся в ЗУ, так и для закрытия информации, передаваемой по линиям связи. Криптографическое преобразование как метод предупреждения НСД к информации имеет многовековую историю. В настоящее время разработано большое количество различных методов шифрования, созданы теоретические и практические основы их применения. Подавляющие число этих методов может быть успешно использовано и для закрытия информации.

Почему проблема использования криптографических методов в информационных системах (ИС), в частности ЭИС, стала особо актуальна? С одной стороны, расширилось использование компьютерных сетей, в частности Интернет, по которым передаются большие объемы информации государственного, военного, коммерческого и частного характера, не допускающего возможность доступа к ней посторонних лиц. С другой стороны, появление новых мощных компьютеров, технологий сетевых и нейронных вычислений сделало возможным дис­кредитацию криптографических систем, еще недавно считавшихся практически не раскрываемыми.

Проблемой ЗИ путем ее преобразования занимается криптология (kryptos – тайный, logos – наука). Криптология разделяется на два направления – криптографию и криптоанализ. Цели этих направлений прямо противоположны. Криптография занимается поиском и исследованием математических методов преобразования информации. Сфера интересов криптоанализа – исследование возможности расшифровывания информации без знания ключей.

Современная криптография включает в себя четыре крупных раздела:

1. Симметричные криптосистемы.

2. Криптосистемы с открытым ключом.

3. Системы электронной подписи.

4. Управление ключами.

Основные направления использования криптографических методов – передача конфиденциальной информации по каналам связи (например, электронная почта), установление подлинности передаваемых сообщений, хранение информации (документов, баз данных) на носителях в зашифрованном виде. Криптография дает возможность преобразовать информацию таким образом, что ее прочтение (восстановление) возможно только при знании ключа. Перечислим некоторые основные понятия и определения.

Алфавит –конечное множество используемых для кодирования информации знаков.

Текст – упорядоченный набор из элементов алфавита.

В качестве примеров алфавитов, используемых в современных ЭИС, можно привести следующие: алфавит – 32 буквы русского алфавита и пробел; алфавит – символы, входящие в стандартные коды ASCII и КОИ-8; бинарный алфавит – ={0, 1}; восьмеричный или шестнадцатеричный алфавит.

Шифрование –преобразовательный процесс: исходный текст, который носит также название открытого текста, заменяется шифрованным текстом. Дешифрование –обратный шифрованию процесс. На основе ключа шифрованный текст преобразуется в исходный. Ключ –информация, необходимая для беспрепятственного шифрования и дешифрирования текстов.

Криптографическая система представляет собой семейство Т преобразований открытого текста. Члены этого семейства индексируются или обозначаются ключом k. Пространство ключей К –это набор возможных значений ключа. Обычно ключ представляет собой последовательный ряд букв алфавита. Криптосистемы разделяются на симметричные и с открытым ключом. В симметричных криптосистемах для шифрования и дешифрования используется один и тот же ключ. В системах с открытым ключом используются два математически связанных ключа – открытый и закрытый. Информация шифруется с помощью открытого ключа, доступного всем желающим, а расшифровывается с помощью закрытого ключа, известного только получателю. Термины «распределение ключей» и «управление ключами» относятся к процессам системы обработки информации, содержанием которых являются составление и распределение ключей между пользователями. Электронной (цифровой) подписью называется присоединяемое к тексту его криптографическое преобразование, позволяющее другим пользователям проверить авторство и подлинность текста.

Криптостойкостью называется характеристика шифра, определяющая его стойкость к дешифрованию без знания ключа (т.е. криптоанализу). Имеется несколько показателей криптостойкости, среди которых: количество всех возможных ключей; среднее время криптоанализа. Преобразование определяется соответствующим алгоритмом и значением параметра k. Эффективность шифрования с целью ЗИ зависит от сохранения тайны ключа и криптостойкости шифра.

Процесс криптографического закрытия данных может осуществляться как программно, так и аппаратно. Аппаратная реализация отличается существенно большей стоимостью, однако ей присущи и преимущества: высокая производительность, простота, защищенность и т.д. Программная реализация более практична, допускает известную гибкость в использовании.

Для современных криптографических систем ЗИ сформулированы общепринятые требования. Зашифрованное сообщение должно поддаваться чтению только при наличии ключа. Число операций, необходимых для определения использованного ключа шифрования по фрагменту шифрованного сообщения и соответствующего ему открытого текста, должно быть не меньше общего числа возможных ключей. Число операций, необходимых для расшифровывания информации путем перебора всевозможных ключей, должно иметь строгую нижнюю оценку и выходить за пределы возможностей современных компьютеров (с учетом возможности использования сетевых вычислений). Знание алгоритма шифрования не должно влиять на надежность защиты. Незначительное изменение ключа должно приводить к существенному изменению вида зашифрованного сообщения даже при использовании одного и того же ключа. Структурные элементы алгоритма шифрования должны быть неизменными. Дополнительные биты, вводимые в сообщение в процессе шифрования, должны быть полностью и надежно скрыты в шифрованном тексте. Длина шифрованного текста должна быть равной длине исходного текста. Не должно быть простых и легко устанавливаемых зависимостей между ключами, последовательно используемыми в процессе шифрования. Любой ключ из множества возможных должен обеспечивать надежную ЗИ. Алгоритм должен допускать как программную, так и аппаратную реализацию, при этом изменение длины ключа не должно вести к качественному ухудшению алгоритма шифрования.

Рассмотрим классификацию методов криптографического закрытия [2-4].

1. Шифрование.

1.1. Замена (подстановка): простая (одноалфавитная); многоалфавитная одноконтурная обыкновенная; многоалфавитная одноконтурная монофоническая; многоалфавитная многоконтурная.

1.2. Перестановка: простая; усложненная по таблице; усложненная по маршрутам.

1.3. Аналитическое преобразование: с использованием алгебры матриц; по особым зависимостям.

1.4. Гаммирование: конечной короткой гаммой; конечной длинной гаммой; бесконечной гаммой.

1.5. Комбинированные методы: замена и перестановка; замена и гаммирование; перестановка и гаммирование; гаммирование и гаммирование.

2. Кодирование.

2.1. Смысловое: по специальным таблицам (словарям).

2.2. Символьное: по кодовому алфавиту.

3. Другие виды.

3.1. Рассечение-разнесение: смысловое; механическое.

3.2. Сжатие-расширение.

Под шифрованием понимается такой вид криптографического закрытия, при котором преобразованию подвергается каждый символ защищаемого сообщения. Все известные способы шифрования можно разбить на пять групп: подстановка (замена), перестановка, аналитическое преобразование, гаммирование и комбинированное шифрование.

Под кодированием понимается такой вид криптографического закрытия, когда некоторые элементы защищаемых данных (не обязательно символы) заменяются заранее выбранными кодами (цифровыми, буквенными, буквенно-цифровыми сочетаниями и т.п.). При смысловом кодировании кодируемые элементы имеют вполне определенный смысл (слова, предложения, группы предложений). При символьном кодировании кодируется каждый символ защищаемого сообщения. Символьное кодирование по существу совпадает с шифрованием заменой.

Многоалфавитная подстановка – наиболее простой вид преобразований, заключающийся в замене символов исходного текста на другие (того же алфавита) по более или менее сложному правилу. Для обеспечения высокой криптостойкости требуется использование больших ключей.

Перестановки – несложный метод криптографического преобразования. Используется, как правило, в сочетании с другими методами.

Гаммирование – этот метод заключается в наложении на исходный текст некоторой псевдослучайной последовательности, генерируемой на основе ключа.

Блочные шифры представляют собой последовательность (с возможным повторением и чередованием) основных методов преобразования, применяемую к блоку (части) шифруемого текста. Блочные шифры на практике встречаются чаще, чем «чистые» преобразования того или иного класса в силу их более высокой криптостойкости. Российский и американский стандарты шифрования основаны именно на этом классе шифров.

К отдельным видам криптографического закрытия отнесены методы рассечения-разнесения и сжатия данных. Рассечение-разнесение заключается в том, что массив защищаемых данных делится (рассекается) на такие элементы, каждый из которых в отдельности не позволяет раскрыть содержание защищаемой информации. Выделенные таким образом элементы данных разносятся по разным зонам ЗУ или располагаются на различных носителях. Сжатие данных представляет собой замену часто встречающихся одинаковых строк данных или последовательностей одинаковых символов некоторыми заранее выбранными символами.

Электронная цифровая подпись. Целью применения цифровой подписи является, во-первых, гарантированное подтверждение подлинности информации в конкретном электронном документе, и, во-вторых, иметь возможность неопровержимо доказать третьей стороне (арбитру, суду и т.д.), что документ составлен именно этим конкретным лицом, являющимся действительным автором данного документа. Для достижения указанной цели автор должен, используя свое секретное индивидуальное число (индивидуальный ключ, пароль и т.д.), определенным образом выполнять процесс «цифрового подписывания» документа. При таком подписывании каждый раз индивидуальный ключ соответствующим образом сворачивается (замешивается) с содержимым электронного документа. Полученное в результате такого сворачивания число (последовательность определенной длины цифровых разрядов) и является цифровой подписью автора под данным конкретным документом. Следовательно, процедуры подписывания и проверки цифровой подписи, в которых используется по одному ключу из пары ключей, должны быть известны, но при этом должна обеспечиваться гарантированная невозможность восстановления ключа подписывания по ключу проверки. Лучшим на сегодня из предложенных способов является использование таких процедур, чтобы практическое восстановление ключей подписи (закрытых ключей) по ключам проверки (открытым ключам) требовало бы решения известной, вычислительно сложной, задачи.

Проблемы реализации методов криптографической защиты в ИС. Проблема реализации методов ЗИ имеет два аспекта: разработку средств, реализующих криптографическое закрытие, и методику их использования. Каждый из рассмотренных выше методов закрытия информации может быть реализован либо аппаратными, либо программными средствами. Возможность программной реализации обусловливается тем, что все методы криптографического закрытия формальны и могут быть представлены конечной алгоритмической процедурой.

Характеристики криптографических средств защиты. Важнейшей характеристикой криптографического закрытия информации является стойкость – минимальный объем зашифрованного текста, статистическим анализом которого можно вскрыть исходный текст. Таким образом, по стойкости шифра можно определить предельно допустимый объем информации, зашифровываемый при использовании одного ключа. При выборе криптографического алгоритма его стойкость, т.е. устойчивость к попыткам его раскрыть, является одним из определяющих факторов. Вопрос о стойкости шифра сводится к двум взаимосвязанным вопросам: можно ли вообще раскрыть данный шифр; если да, то насколько это трудно сделать практически. Оценим далее некоторые технико-экономические показатели криптографических средств. Расходы на программную реализацию криптографических методов защиты определяются сложностью алгоритмов прямого и обратного преобразований. Оценка затрат на эти цели производится по тем же методикам, что и оценка затрат на другие компоненты программного обеспечения. При этом, однако, надо иметь в виду, что для подавляющего большинства методов закрытия прямое и обратное преобразования осуществляются по одному и тому же алгоритму. Расходы на аппаратную реализацию могут быть оценены приближенно стоимостью шифрующей аппаратуры. По данным зарубежной печати, такие аппараты в настоящее время поступают на коммерческий рынок. Выпускаются и поступают в продажу, например, шифрующие аппараты, реализующие DES.

Раздел 5: Особенности защиты информации в персональных компьютерах

Общие положения по применению системы «Кобра». Одной из наиболее распространенных программных систем ЗИ является «Кобра», предназначенная для защиты конфиденциальной информации при обработке и хранении в однопользовательском и многопользовательском режимах эксплуатации ПК. Основными ее потребительскими свойствами являются: качественный уровень ЗИ; высокое быстродействие; технологичность.

К основным функциям «Кобры» относятся: идентификация и аутентификация пользователя; парольный вход; накопление, хранение и обработка информации в преобразованном (шифрованном) виде; «прозрачная» ЗИ на уровне логического устройства ПК, логического диска, каталогов и шаблонов файлов; управление доступом; мандатный контроль доступа; регистрация и учет событий; объединение пользователей в группы с общими файлами; защита файлов пользователей на чтение, запись, удаление, переименование, изменение, создание с тем же именем; запрещение запуска программ с дискет; контроль целостности ПО; работа пользователя в привычной среде; индивидуальная и групповая настройка; сигнализация об эталонном изменении целостности ПК; обеспечение полноты функций ЗИ при работе с широким спектром прикладного ПО от пользовательских оболочек до интегральных сред.

«Кобра» является многоуровневой системой ЗИ.

1. Защита от загрузки через НГМД в обход «Кобры» путем динамического преобразования информации и специальной технологии взаимодействия модулей защиты.

2. Идентификация и аутентификация путем одностороннего преобразования и хранения только контрольных значений, а не паролей, а также путем использования основных и дополнительных паролей и входе при раздельном вводе независимыми субъектами двух разных паролей.

3. Обеспечение ПРД путем санкционирования доступа, детализацией разграничения доступа к шаблонам файлов и ресурсам ПК, а также блокировкой клавиатуры и экрана.

4. Периодический КЦ системы «Кобра» автоматически (в период загрузки и окончания работы ПК), и вручную (во время процесса работы ПК), а также регистрация действий администраторов и пользователей и самостоятельное восстановление рабочей среды.

5. Специальные преобразования информации в «прозрачную» для легальных пользователей.

Кратко рассмотрим подсистемы системы «Кобра».

Подсистема обеспечения санкционированного доступа обеспечивает ЗИ на уровне логических дисков. Каждому законному пользователю ЭВМ устанавливаются индивидуальные полномочия по доступу к логическим дискам: запрет доступа, только чтение, полный доступ, суперзащита (гарантия конфиденциальности информации при похищении дискет, жестких дисков, или даже самого ПК). Устанавливаются каждому законному пользователю полномочия доступа к последовательным и параллельным портам ПК по принципу: есть доступ, нет доступа. «Кобра» реализует мандатный принцип контроля полномочий доступа (возможность считать объект, осуществлять запись в объект и осуществлять коррекцию) применительно ко всем объектам при явном и скрытом доступе со стороны любого из пользователей. Для реализации этого принципа сопоставляются классификационные метки каждого пользователя системы и каждого объекта (логических устройств), отражающих их место в соответствующей иерархии. Посредством этих меток пользователям и объектам назначаются классификационные уровни (категории конфиденциальности). При вводе новых данных в систему запрашиваются от санкционированного пользователя классификационные метки этих данных. При санкционированном занесении в список пользователей нового пользователя ему назначаются, в зависимости от уровня доступа, классификационные метки.

Подсистема закрытия позволяет закрыть доступ к ресурсам ПК через системную дискету. При этом «Кобра» выдает пользователю специальную системную дискету, с которой, при необходимости, можно загрузиться. Любая другая дискета будет игнорироваться.

Подсистема обеспечения целостности рабочей среды ПК осуществляет анализ и фиксацию состояния рабочей среды ПК, которая в дальнейшем принимается как эталонная, контролируется и поддерживается. Подсистема фиксирует: обнаружение несанкционированных изменений в рабочей среде ПК со стороны лиц, получивших доступ к ней; обнаружение несанкционированных изменений, вызванных вредоносными программами; обнаружение искажений в программах и ключевой информации, возникших в результате машинных сбоев или износа магнитного носителя. Подсистема контролирует состояние оперативной памяти ПК, содержание главной корневой записи диска и загрузочного сектора, состояние файлов конфигурирования, автозапуска, файлов с системными и прикладными программами и данными, а также, контролирует действия вирусов (как известных, так и новых). Кроме того, подсистема предоставляет возможность автоматического восстановления основных компонентов рабочей среды ПК, а в случае невозможности автоматического восстановления автоматически сигнализирует об этом пользователю, выдавая данные о поврежденных частях рабочей среды ПК для проведения ручного восстановления.

Подсистема регистрации и учета работы предназначена для: регистрации изменений ПРД; регистрация длительности сеанса работа каждого пользователя ПК; регистрация нарушений пользователем инструкций по работе с системой «Кобра»; накопление сведений о работе каждого пользователя на ПК за отчетный период; выдачи по запросу справки о работе за текущий период, в том числе: имя, дата регистрации, общее время нарушений правил работы с «Коброй».

Подсистема файлового закрытия информации осуществляет закрытие информации в файлах, в группах файлов, в каталогах, в группах каталогов (с подкаталогами) и логических разделах дисков или дискет. Подсистема представляет собой автоматизированное рабочее место (администратора, оператора компьютерной сети, оператора базы данных или пользователя компьютера, нуждающегося в надежном закрытии своей информации).

Подсистема детального разграничения доступа к шаблонам файлов предназначена для разграничения доступа к файлам данных и программ, находящихся на одной ПК. Разграничение производится на уровне каталогов и отдельных файлов, позволяя разграничивать отдельно по чтению записи, удалению, переименованию файлов или каталогов, запуску на выполнение.

Подсистема разграничения доступа к ресурсам ПК предназначена для разграничения доступа к функциональным клавишам, файлам, каталогам, командной строке DOS.

Подсистема затираний обеспечивает физическое удаление стираемой на магнитных носителях информации.

Подсистема регистрации предназначена для контроля действий пользователя с целью выявления некорректных или преднамеренных действий пользователей или вредоносных программ.

Подсистема блокировки клавиатуры и монитора предназначена для блокировки работыклавиатуры и монитора при отсутствии ввода информации с клавиатуры.

Подсистема создания дополнительных логических дисков предназначена для создания необходимого количество дисков, без предварительного удаления информации с них.

Подсистема окончания работы позволяет выполнить проверку целостности рабочей среды с целью обнаружения и исправления действий вирусов, последствий ошибочных действий пользователей и других действий, изменивших рабочую среду при завершении работы ПК.

Средства преобразования информации предназначеныдля преобразования информации в нечитаемый вид с целью возможности ее хранения на внешних магнитных носителях.

Защита в среде MS-DOS. Защиту от НСД к ПК при оставлении без завершения сеанса работы в среде MS-DOS можно реализовать с помощью утилиты Diskreet, входящей в состав пакета Norton Utility 7-й или 8-й версий, так: подключить драйвер Diskreet.sys (включить в файл Config.sys строку DEVICE=d: \path\ DISKREET.SYS, где d и path – соответственно логический привод и путь файла Diskreet.sys); перезагрузить ОС; запустить утилиту Diskreet.exe; нажатием клавиши F10 войти в меню, выбрать пункт Options и ввести команду Driver; раскрыть список «Hot key» с помощью комбинации клавиш < Ctrl+! > и выбрать комбинацию клавиш для блокирования клавиатуры, мыши и экрана; установить нажатием клавиши пробела флажок Keyboard/ Screen Lock и нажать Ok; используя команду Master Password из пункта меню Options, ввести главный пароль и выйти из утилиты. Так можно будет блокировать экран, клавиатуру и мышь, нажав установленную комбинацию клавиш. Для разблокирования следует ввести главный пароль и нажать клавишу < Enter>. Данный пароль необходимо будет вводить и после выдачи команды Driver в меню Options из среды утилиты Diskreet. Для изменения главного пароля следует запустить утилиту Diskreet, ввести команду Master Password из пункта меню Options и далее определить новый пароль, введя предварительно старый. При забывании главного пароля единственным выходом из данного положения является удаление файла Diskreet.ini. Когда данный файл отсутствует, считается, что главный пароль не установлен.

Защита в средах Windows. Для установки параметров ЗИ от НСД к ПК при его оставлении без завершения сеанса работы в среде Windows 3.XX необходимо: двойным щелчком мыши запустить в Windows программу «Панель управления» и далее «Оформление»; выбрать любой хранитель экрана в группе элементов «Хранитель экрана», обеспечивающий защиту паролем, например Marquee, Flying Windows или Starfiefd Simulation; в поле «Задержка» установить время бездействия пользователя, по истечении которого будет активизироваться хранитель экрана; нажать кнопку «Параметры», установить флажок «Защита паролем»и определить пароль; нажать «Ok» и закрыть «Панель управления». По истечении установленного времени бездействия пользователя будет активизирован хранитель экрана, который не позволит вернуться в систему без ввода пароля. Изменение пароля осуществляется аналогично. Для установки параметров ЗИ от НСД к ПК при его оставлении без завершения сеанса работы для ОС Windows 95/98/NT необходимо: активизировать «Панель управления»и далее «Экран»; активизировать лист «Заставка»и выбрать понравившийся хранитель экрана; установить в поле «Интервал»время бездействия пользователя, по истечении которого будет активизироваться хранитель экрана; установить флажок «Пароль»; определить пароль с помощью кнопки «Сменить»; нажать «Ok» и закрыть «Панель управления». По истечении установленного времени бездействия пользователя будет активизирован хранитель экрана, который не позволит вернуться в систему без ввода пароля. Изменение пароля осуществляется аналогично.

Классификация компьютерных вирусов. Компьютерные вирусы классифицируются в соответствии со следующими признаками:

1) среда обитания: файловые вирусы; загрузочные вирусы, заражающие компоненты системной области, используемые при загрузке ОС; файлово-загрузочные вирусы.

2) способ заражения среды обитания;

3) способ активизации: резидентные и нерезидентные вирусы;

4) способ проявления (деструктивные действия или вызываемые эффекты): влияние на работу ПК; искажение программных файлов, файлов с данными; форматирование диска или его части; замена информации на диске или его части; искажение BR или MBR диска; разрушение связности файлов путем искажения FAT; искажение данных в CMOS-памяти;

5) способ маскировки: немаскирующиеся, самошифрующиеся и стелс-вирусы.

При повседневной работе пользователь может обнаружить вирус обычно только по его симптомам: увеличение числа файлов на диске; появление на экране сообщения «I File(s) copied» («Скопирован один файл»), хотя вы не выдавали команду COPY; уменьшение объема свободной оперативной памяти; изменение даты и времени создания файла; увеличение размера программного файла; появление на диске зарегистрированных дефектных кластеров; ненормальная работа программы; замедление работы программы; загорание лампочки дисковода в то время, когда к диску не должны происходить обращения; заметное возрастание времени доступа к жесткому диску; сбои в работе ОС, в частности ее зависание; невозможность загрузки ОС; разрушение файловой структуры (исчезновение файлов, искажение каталогов).

Файловые вирусы либо различными способами внедряются в выполняемые файлы (наиболее распространенный тип вирусов), либо создают файлы-двойники (вирусы-компаньоны), либо используют особенности организации файловой системы (link-вирусы).

Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный boot-сектор.

Макровирусы заражают файлы-документы и электронные таблицы нескольких популярных редакторов.

Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты.

Существует большое количество сочетаний, например файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему, используют " стелc-" и полиморфик-технологии. Другой пример – сетевой макровирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.

Заражаемая ОС (объекты которой подвержены заражению) является вторым уровнем деления вирусов на классы. Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких ОС – DOS, Windows, Win95/NT, OS/2 и т.д. Макровирусы заражают файлы форматов Word, Excel, Office 97. Загрузочные вирусы также ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков.

Среди особенностей алгоритма работы вирусов выделяют резидентность; использование «стелс»-алгоритмов; самошифрование и полиморфичность; использование нестандартных приемов.

Резидентный вирус при инфицировании ПК оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения ОС к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения ПК или перезагрузки ОС. Нерезидентные вирусы не заражают память ПК и сохраняют активность ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными. Резидентными можно считать макровирусы как присутствующие в памяти ПК в течение всего времени работы зараженного редактора. Роль ОС берет на себя редактор, а понятие «перезагрузка ОС» трактуется как выход из редактора. В многозадачных ОС время «жизни» резидентного DOS-вируса также может быть ограничено моментом закрытия зараженного DOS-окна, а активность загрузочных вирусов в некоторых ОС ограничивается моментом инсталляции дисковых драйверов ОС.

Использование " стелc''-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным " стелс" -алгоритмом является перехват запросов ОС на чтение-запись зараженных объектов, затем " стелс" -вирусы либо временно лечат их, либо подставляют вместо себя незараженные участки информации. В случае макровирусов наиболее популярный способ – запрет вызовов меню просмотра макросов. Один из первых файловых " стелс" -вирусов – вирус Frodo, первый загрузочный " стелс" -вирус – Brain.

Самошифрование и полиморфичность используются практически всеми типами вирусов для максимального усложнения процедуры обнаружения вируса. Полиморфик-вирусы (polymorphic) трудно обнаруживаются, не имеют сигнатур, т.е. не содержат ни одного постоянного участка кода. Два образца одного и того же полиморфик-вируса обычно не имеют ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.

Нестандартные приемы часто используются в вирусах для того, чтобы глубже спрятаться в ядре ОС (вирус «ЗАРАЗА»), защитить от обнаружения свою резидентную копию (вирусы TPVO, Trout2), затруднить лечение от вируса (например, помещают свою копию в Flash-BIOS) и т.д.

По деструктивным возможностям вирусы можно разделить на: безвредные, никак не влияющие на работу ПК (кроме уменьшения свободной памяти на диске в результате распространения); неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и прочими эффектами; опасные вирусы, которые могут привести к серьезным сбоям в работе ПК; очень опасные, которые могут вызвать потерю программ, данных, информации в системных областях памяти и даже, как гласит одна из непроверенных компьютерных легенд, способствовать быстрому износу движущихся частей механизмов – вводить в резонанс и разрушать головки некоторых типов винчестеров.

Даже если в алгоритме вируса не найдено ветвей, наносящих ущерб, этот вирус нельзя с полной уверенностью назвать безвредным, так как он может вызвать непредсказуемые и порой катастрофические последствия. Ведь вирус, как и всякая программа, имеет ошибки, в результате которых могут быть испорчены как файлы, так и секторы дисков (например, вполне безобидный на первый взгляд вирус DenZuk довольно корректно работает с 360-килобайтовыми дискетами, но может уничтожить информацию на дискетах большего объема). До сих пор попадаются вирусы, определяющие СОМ или ЕХЕ не по внутреннему формату файла, а по расширению. При несовпадении формата и расширения имени файл после заражения оказывается неработоспособным. Возможно также «заклинивание» резидентного вируса и системы при использовании новых версий DOS, при работе в Windows или с другими мощными программными системами. И так далее.

Раздел 6: Антивирусные программы

Антивирусы-полифаги. Антивирусы-полифаги – наиболее распространенные средства по борьбе с вредоносными программами. Исторически они появились первыми и до сих пор удерживают несомненное лидерство в этой области. В основе работы полифагов стоит простой принцип – поиск в программах и документах знакомых участков вирусного кода (сигнатур вирусов). Сигнатура – это запись о вирусе, позволяющая однозначно идентифицировать присутствие вирусного кода в программе или документе, чаще всего участок вирусного кода или его контрольная сумма (дайджест).

Первоначально антивирусы-полифаги осуществляли последовательный просмотр файлов на предмет нахождения вирусов. Если сигнатура вируса была обнаружена, то производилась процедура удаления вирусного кода. Прежде проверки файлов программа-фаг всегда проверяет оперативную память. Если там оказывается вирус, то происходит его деактивация. Это вызвано тем, что зачастую вирусы заражают программы, запускающиеся или открывающиеся в момент активной стадии вируса (это связано со стремлением экономить на усилиях по поиску объектов заражения). Таким образом, если вирус останется активным в памяти, то тотальная проверка всех исполняемых файлов приведет к тотальному заражению системы.

В настоящее время вирусы значительно усложнились. Например, появились «stealth-вирусы». В основе их работы лежит использование ОС при обращении к периферийным устройствам (в том числе и к жестким дискам) механизма прерываний. При возникновении прерывания управление передается обработчику прерываний. Эта программа отвечает за ввод/вывод информации в/из периферийного устройства. Кроме того, прерывания делятся на уровни взаимодействия с периферией (в нашем случае – с жесткими и гибкими дисками). Есть уровень ОС (в среде MS DOS – прерывание 25h), есть уровень базовой системы ввода/вывода (уровень BIOS – прерывание 13h). Программисты могут работать и напрямую, обращаясь к портам ввода/вывода устройств, но это весьма трудно. Столь многоуровневая система сделана, прежде всего, с целью сохранения переносимости приложений. Именно благодаря такой системе, скажем, оказалось возможным осуществлять запуск DOS-приложений в многозадачных средах типа MS Windows или IBM OS/2. Но изначально скрыта и уязвимость: управляя обработчиком прерываний, можно управлять потоком информации от периферийного устройства к пользователю. Stealth-вирусы, в частности, используют механизм перехвата управления при возникновении прерывания. Заменяя оригинальный обработчик прерывания своим кодом, stealth-вирусы контролируют чтение данных с диска.

Если с диска читается зараженная программа, вирус «выкусывает» собственный код (обычно происходит подмена номера читаемого сектора диска). В итоге пользователь получает для чтения «чистый» код. До тех пор, пока вектор обработчика прерываний изменен вирусным кодом, сам вирус активен в памяти ПК, обнаружить его простым чтением диска средствами ОС невозможно. Схожий механизм маскировки используется загрузочными вирусами. В целях борьбы со stealth-вирусами рекомендуется осуществлять альтернативную загрузку системы с гибкого диска и только после этого проводить поиск и удаление вирусов. В настоящее время загрузка с гибкого диска может оказаться проблематичной (для случая с Win32 – антивирусными приложениями запустить их не удастся). Антивирусы-полифаги максимально эффективны только против уже известных вирусов, чьи сигнатуры и методы поведения знакомы разработчикам. Тогда вирус обязательно будет обнаружен и удален из памяти ПК, а потом из всех проверяемых файлов. Если же вирус неизвестен, то он может противостоять попыткам его обнаружения и лечения. Поэтому главное при пользовании любым полифагом – чаще обновлять версии программы и вирусные базы.

Особняком стоят эвристические анализаторы. Существует большое количество вирусов, алгоритм которых практически скопирован с алгоритма других вирусов. Как правило, их создают непрофессиональные программисты. Для борьбы с такими «копиями» были придуманы эвристические анализаторы. С их помощью антивирус способен находить аналоги известных вирусов, сообщая, что, похоже, завелся вирус. Надежность эвристического анализатора не 100%, но все же больше 50%, Вирусы, которые не распознаются антивирусными анализаторами, способны написать только наиболее опытные и квалифицированные программисты. Эвристическим анализатором кода называется набор подпрограмм, анализирующих код исполняемых файлов, памяти или загрузочных секторов для обнаружения в нем разных типов вирусов. Основной частью анализатора является эмулятор кода. Он работает в режиме просмотра, не выполняя код, а выявляя в нем всевозможные события, т.е. совокупность кода или вызов определенной функции ОС, направленные на преобразование системных данных, работу с файлами, или обнаруживая часто используемые вирусные конструкции. Грубо говоря, эмулятор просматривает код программы и выявляет те действия, которые эта программа совершает. Если действия укладываются в какую-то определенную схему, то делается вывод о наличии в программе вирусного кода. Конечно, вероятность пропуска и ложного срабатывания весьма высока. Однако, правильно используя механизм эвристики, пользователь может самостоятельно прийти к верным выводам. Например, если антивирус выдает сообщение о подозрении на вирус для единичного файла, то вероятность ложного срабатывания весьма высока. Если же такое повторяется на многих файлах (а до этого антивирус ничего подозрительного в этих файлах не обнаруживал), то можно почти уверенно говорить о заражении. Наиболее мощным эвристическим анализатором в настоящее время обладает антивирус Dr.Web.

Использование эвристического анализатора позволяет также бороться с вирус-генераторами и полиморфными вирусами. Метод сигнатуры в этом случае вообще неэффективен. Вирус-генераторы – это специализированный набор библиотек, который позволяет пользователю легко сконструировать собственный вирус. К написанной программе подключаются библиотеки генератора, вставляются в нужных местах вызовы внешних процедур – и вот элементарный вирус превратился в достаточно сложный продукт. Сигнатура вируса будет каждый раз другая, поэтому отследить вирус оказывается возможным только по характерным вызовам внешних процедур – а это уже работа эвристического анализатора. Полиморфный вирус имеет еще более сложную структуру. Тело вируса видоизменяется от заражения к заражению, сохраняя функциональное наполнение. В простейшем случае – если разбросать в теле вируса случайным образом ничего не исполняющие, пустые операторы, то тело вирусного кода претерпит значительные изменения, а алгоритм останется прежним. В этом случае на помощь также приходит эвристический анализатор.

Программы-ревизоры. Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Они запоминают исходное состояние программ, каталогов и системных областей диска до заражения, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки ОС. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная в России программа Adinf.

Антивирусные программы-ревизоры позволяют обнаружить вирус. Чаще всего этим дело и заканчивается. Существует блок лечения Cure Module для Adinf, но он позволяет лечить лишь файлы, не зараженные на момент создания базы данных программы. Однако обнаружить вирус на ПК (или даже подозрение на него) антивирусы-ревизоры могут с большой степенью надежности. Оптимальна связка полифаг-ревизор. Ревизор служит для обнаружения факта заражения, тогда в дело пускается полифаг. Если же ему не удалось уничтожить вирус, то можно обратиться к разработчику антивирусных средств – скорее всего, попал новый, неизвестный разработчикам вирус.

Основу работы ревизоров составляет контроль за изменениями, характерными для работы вирусных программ. В них содержится информация: о контрольных суммах неизменяемых файлов, содержимом системных областей, адресах обработчиков прерываний, размере доступной оперативной памяти и т.п. Остальная работа состоит в сравнении текущего состояния диска с сохраненным, поэтому крайне важно создавать контрольные таблицы не на зараженной машине. Итак, перейдем к стадиям работы программы-ревизора.

Контроль оперативной памяти включает процедуры обнаружения следов активных загрузочных и stealth-вирусов в памяти ПК. Если такие алгоритмы найдены, выдается предупреждение. Обычно сначала программа ищет знакомые вирусы, далее проверяет, изменился ли обработчик Int13h. Если да, то с вероятностью 90 % ПК инфицирован загрузочным вирусом (эти вирусы вынуждены перехватывать данное прерывание, чтобы после своей активизации передать управление «нормальному» загрузочному сектору и ОС загрузилась без сбоев). Ревизор выдает предупреждение об этом и сообщает адрес в памяти нового обработчика Int13h. Информация о местонахождении обработчика необходима программистам и системным администраторам, а рядовому пользователю следует обратить внимание на предупреждение. Даже если ревизор устанавливается на зараженный ПК и реальный адрес обработчика маскируется вирусом, в 85 % случаев ревизору удается обнаружить истинный адрес обработчика в BIOS и работать, используя его. Если не удалось получить реальный адрес обработчика, то выдается предупреждение. Истинный адрес достигается путем пошагового просмотра тела вируса (по алгоритму своей работы загрузочный вирус вынужден, в конце концов, передавать управление оригинальному обработчику).

Некоторые вирусы блокируют трассировку прерываний: при попытке трассировать их коды они приводят ОС к «зависанию», перезагружают ПК и т.д. Поэтому, если при трассировке прерываний ПК ведет себя «странно», то не исключено, что оперативная память поражена вирусом. Важен и размер свободной оперативной памяти. Обычно ревизор запускается самым первым, до загрузки каких-либо программ. Если же размер оперативной памяти уменьшился – это верный признак присутствия в ОЗУ еще какой-то программы, скорее всего, вируса.

Контроль системных областей предназначен для обнаружения вирусов, которые используют для своей активации механизм загрузки. Первой с диска загружается загрузочная запись (boot record), которая содержит в себе мини-программу, управляющую дальнейшей загрузкой. Для жесткого диска первой производится загрузка главной загрузочной записи (Master-BootRecord или MBR). Если система поражена загрузочным вирусом, то именно ему передается управление при попытке загрузиться с пораженного диска. В этом опасность вируса – если поражен жесткий диск, то управление вирусу будет передаваться при каждом включении ПК. Загрузочные вирусы в чистом виде передаются исключительно через дискеты, и заражение осуществляется при попытке загрузиться с пораженной дискеты. Со временем использование дискет вообще и загрузочных дискет, в частности, сократилось до минимума. Однако способ захвата управления столь удобен, что очень распространены вирусы, которые могут поражать как файлы, так и загрузочные сектора. Попав на «чистый» ПК, такие вирусы первым делом поражают MBR. Однако методы обнаружения именно загрузочных вирусов крайне эффективны и приближаются к 100 % надежности. Рассмотрим обнаружение такого вируса «вручную». Произведем загрузку с чистой дискеты (при этом прерывание 13h гарантировано не будет перехвачено загрузочным вирусом) и рассмотрим сектор 0/0/1 винчестера (это физический адрес сектора MBR). Если винчестер разделен (при помощи fdisk) на логические диски, то код занимает приблизительно половину сектора и начинается с байтов FAh33hCOh (вместо 33h иногда может быть 2Bh). Заканчиваться код должен текстовыми строками типа «Missing operating system». В конце сектора размещаются внешне разрозненные байты таблицы разделов. Нужно обратить внимание на размещение активного раздела в таблице разделов. Если ОС расположена на диске С, а активны 2-й, 3-й или 4-й разделы, то вирус мог изменить точку старта, сам разместившись в начале другого логического диска (заодно нужно посмотреть и там). Но также это может говорить о наличии нескольких ОС и какого-либо boot-менеджера, обеспечивающего выборочную загрузку. Проверяем всю нулевую дорожку. Если она чистая, то есть секторы содержат только байт-заполнитель, все в порядке. Наличие мусора, копий сектора 0/0/1 и прочего может говорить о присутствии загрузочного вируса. Впрочем, антивирусы при лечении загрузочных вирусов лишь «обезглавливают» противника (восстанавливают исходное значение сектора 0/0/1). Проверяем boot-сектор MS-DOS, он обычно расположен в секторе 0/1/1. Его внешний вид для сравнения можно найти на любом «чистом» ПК. Примерно так же действуют программы-ревизоры. Их особенность в то