виявлення спроб несанкціонованого доступу як ззовні, так і усередині мережі, захисту від атак типу «відмова в обслуговуванні» (Cisco Secure IDS, Intruder Alert i NetProwel від компанії Symantec. Дані системи здатні запобігти шкідливим діям, що дозволяє знизити час простою в результаті атаки та витрати на підтримку працездатності мережі;

Ш засоби створення віртуальних приватних мереж (VPN - Virtual Private Network) - для організації захищених каналів передачі даних через незахищене середовище (Symantec Enterprise VPN, Cisco IOS VPN, Cisco VPN concentrator. Віртуальні приватні мережі забезпечують прозоре для користувача з'єднання локальних мереж, зберігаючи при цьому конфіденційність і цілісність інформації шляхом її динамічного шифрування;

Ш засоби аналізу захищеності - для аналізу захищеності корпоративної мережі й виявлення можливих каналів реалізації погроз інформації (Symantec Enterprise Security Manager, Symantec NetRecon). їхнє застосування дозволяє запобігти можливим атакам на корпоративну мережу, оптимізувати витрати на захист інформації й контролювати поточний стан захищеності мережі.

Для захисту периметра інформаційної системи створюються:

Ш системи охоронної й пожежної сигналізації;

Ш системи цифрового відеоспостереження;

Ш системи контролю й керування доступом (СККД).

При створенні програмно-апаратних засобів захисту від есанкціонованого доступу керуються наступними принципами:

принцип обґрунтованості доступу (виконавець повинен мати достатню «форму допуску» до закритої інформації, відомості про яку потрібні йому для повноцінного виконання професійних обов'язків);

принцип достатньої глибини контролю доступу (СЗІ повинні включати механізми контролю доступу до всіх видів інформаційних і програмних ресурсів);

принцип розмежування потоків інформації (не дозволяє переписувати закриту інформацію на незакриті носії; здійснюється мічення на носії інформації і ідентифікація цих носіїв);

принцип чистоти повторно використовуваних ресурсів (звільнення від закритої інформації ресурсів при їх видаленні);

принцип персональної відповідальності (виконавець повинен нести персональну відповідальність за свою діяльність в системі, включаючи всі дії із закритою інформацією);

принцип цілісності засобів захисту (засоби захисту повинні точно виконувати свої функції і бути ізольовані від користувача).

II. Моделі управління доступом

Моделі управління доступом визначають правила управління доступом до інформації, дозволами в системі так, щоб система завжди була безпечна. Властивості моделей управління доступом:

Модель управління доступом повинна бути адекватною модельованій системі.

Модель повинна бути простою і абстрактною і не складною для розуміння.

Існують матричні та багаторівневі моделі управління доступом.

Матричні моделі управління доступом:

1. Модель Лемпсона.

Основа моделі - правила доступу, що визначають можливий вид доступу суб'єкта до об'єкта доступу. Як об'єкти виступають пасивні елементи матриці. Як суб'єкти - активні елементи. Суб'єкти можуть бути також і об'єктами доступу. Дана модель дозволяє динамічно передавати права об'єктів.

Недоліки цієї моделі:

- не всі суб'єкти доступу мають доступ до всіх об'єктів (матриця сильно
розріджена);

- дана модель не відстежує потоки інформації.
Модифікації моделі Лемпсона:

1) Списки управління доступом до об'єктів,

У даній моделі повноваження доступу визначаються у вигляді списку кортежів для всіх суб'єктів, що мають доступ до даного об'єкту. Така модель застосовується в системах Novell.

Переваги даної моделі:

- економія пам'яті;

- зручність отримання відомостей про суб'єктів, що мають доступ до даного об'єкта.

Недоліки:

- незручність отримання відомостей про об'єкти, до яких має доступ даний суб'єкт;

- незручність відстежування обмежень і залежностей.

2) Списки повноважень суб'єктів (профіль суб'єкта).

У даній моделі повноваження доступу суб'єкта представляються у вигляді списку кортежів для всіх об'єктів, до яких він має доступ. Профіль суб'єкта використовується для відстежування подій аудиту в ОС Microsoft Windows NT.

Переваги моделі:

економія пам'яті;

зручність отримання відомостей про об'єкти, до яких має доступ даний суб'єкт.

Недолік: незручність отримання відомостей про суб'єктів, які мають доступ до даного об'єкта. 2. Атрибутна схема.

Атрибутні способи задання матриці доступу засновані на привласненні суб'єктам і об'єктам певних міток (атрибутів, що містять значення). Така схема використовується в ОС сімейства UNIX. Матриця задана в неявному вигляді. Обчислення рівня доступу суб'єкта до об'єкта відбувається динамічно.

III. Технічні можливості зловмисника і засоби знімання інформації

Не слід недооцінювати можливості непрофесіоналів щодо здійснення комп'ютерних злочинів. Нелояльні співробітники, що мають доступ до комп'ютерів, грають головну роль в більшості фінансових злочинів. Це швидше організаційна, ніж технічна проблема. Якщо найманим службовцям добре платять, то мало вірогідно, що вони представлять загрозу безпеці.

Статистика наводить сумні дані про те, що лише чверть співробітників банку цілком лояльна, чверть, безумовно, настроєна до фірми вороже і не має моральних обмежувачів. Лояльність же другої половини співробітників залежить виключно від обставин.

Процедури безпеки можуть забезпечувати перевірку паролів і строгий контроль доступу до цінних загальних даних, але зловмисника, обізнаного у внутрішньому устрої системи, практично неможливо зупинити. Однією з найуразливіших точок будь-якої організації з погляду безпеки стає її персонал, і, відповідно, великого значення набувають грамотна реалізація внутрішньої політики і робота з персоналом.

Для побудови надійного захисту необхідно виявити можливі погрози безпеці інформації, оцінити їх наслідки, визначити необхідні заходи і засоби захисту і оцінити їх ефективність.

Технічний канал просочування інформації - сукупність фізичних полів, що несуть конфіденційну інформацію, конструктивних елементів взаємодії систем і технічних засобів порушника для реєстрації і зняття інформації.

Розглянемо деякі типові канали просочування інформації:

знімання інформації, що передається по телефонних лініях, лініях радіо- і пейджинговому зв'язку;

знімання мовної інформації з подальшою передачею її по радіоканалу («жучки»), по дротяних лініях (по мережі або по пожежній сигналізації);

знімання мовної інформації через конструкції будівель (стетоскопи), з віконних отворів (лазерний мікрофон або направлений мікрофон);

запис переговорів в людних місцях (направлений мікрофон);

знімання і дешифрування побічних випромінювань з комп'ютера або іншої оргтехніки;

запис на диктофон переговорів.

Знімання інформації за допомогою мікрофонів. В тому випадку, якщо є постійний доступ до об'єкта контролю, можуть бути використані прості мініатюрні мікрофони, сполучні лінії яких виводять в сусідні приміщення для реєстрації і подальшого прослуховування акустичної інформації. Такі мікрофони діаметром 2,5 мм можуть вловлювати нормальний людський голос з відстані до 10-15 м.

Разом з мікрофоном в контрольованому приміщенні, як правило, встановлюють мініатюрний підсилювач з компресором для збільшення динамічного діапазону акустичних сигналів і забезпечення передачі акустичній інформації на значні відстані. Ці відстані в сучасних виробах досягають до 500 метрів і більше. Тобто служба безпеки фірми, що займає багатоповерховий офіс " (або зловмисник), може прослуховувати будь-яке приміщення в будівлі. При цьому дротяні лінії від декількох приміщень зводяться в одне місце на спеціальний пульт і операторові залишається лише вибірково прослуховувати будь-яке з них та, за необхідності, записувати розмови на магнітофон або жорсткий диск комп'ютера.

Для одночасної реєстрації акустичних сигналів від декількох приміщень (від 2-х до 16-ти) існують багатоканальні реєстратори створені на базі ПК. Такі реєстратори найчастіше використовуються для контролю акустичної інформації приміщень і телефонних розмов. Вони мають різні додаткові функції, такі як визначення вхідних і вихідних номерів телефонів, ведення журналів і протоколів сеансів зв'язку і ін.

Передача інформації по спеціально прокладених проводах. Недоліком таких проводів є можливість їх виявлення і перевірки призначення при візуально-технічному контролі. У сучасніших системах використовуються якнайтонші (товщиною з волосину) оптичні волокна, які можливо вплести в килимове покриття і т.д.

Мікрофони можуть бути введені через вентиляційні канали на рівень контрольованого приміщення, яке може прослуховуватися з іншого приміщення. При цьому досить встановити диктофон з можливістю запису на декілька годин, який має можливість управління записом за рівнем акустичного сигналу, і всі розмови в контрольованому приміщенні записуватимуться досить тривалий час без зміни касет.

Направлені мікрофони. Існує декілька модифікацій направлених мікрофонів, що сприймають і підсилюють звуки, які йдуть тільки з одного напряму, і що ослабляють решту всіх звуків. У простих з них вузька діаграма спрямованості формується за рахунок використання довгої трубки. У складніших конструкціях можуть використовуватися декілька трубок різної довжини. Високі параметри мають також вузько направлені мікрофони, в яких діаграма спрямованості створюється параболічним концентратором звуку.

За кордоном широко представлені трубчасті мікрофони, зроблені в формі парасольки («в англійському стилі»). У нього вбудований підсилювач і є вихід на навушники. Дальність дії їх становить не більше 30 м.

У міських умовах неможливо проводити знімання інформації з відстані, що перевищує 100 м. Сотні метрів можуть бути досягнуті у виняткових випадках типу: заповідник, ранній ранок, туман, над озером тощо.

Диктофони і магнітофони. Для акустичної розвідки використовуються радіомікрофони, мініатюрні диктофони і магнітофони замасковані під предмети повсякденного попиту: книгу, письмові прилади, пачку цигарок, авторучку тощо.

Сучасні диктофони забезпечують безперервний запис мовної інформації від 30 хвилин до декількох годин. Вони оснащені системами акустичного запуску, тобто управлінням по рівню акустичного сигналу, автореверсами, системами індикації дати і часу запису та дистанційним керуванням. Вибір диктофонів сьогодні дуже великий. З описаними функціями можна підібрати модель фірм OLYMPUS, SONY, Panasonic, Uher.

У деяких моделях диктофонів як носій інформації використовуються цифрові мікрочіпи і міні-диски, записану на такому диктофоні мовну інформацію можна переписувати на жорсткі диски комп'ютерів для зберігання, архівації і подальшого прослуховування.

Перевагою цифрових диктофонів є те, що вони мають малі габарити і вагу, можуть записувати до 20 годин мовної інформації, мають хорошу чутливість вбудованого мікрофону (до 8 м) і широкий динамічний діапазон. Час безперервної роботи від одного елементу живлення може складати до 80 годин в режимі запису і до 2-х років в режимі очікування.

Як правило, цифрові диктофони оснащені системою голосової активації (VAS), що дозволяє ефективно стискати паузи в повідомленнях, збільшуючи таким чином реальний час запису. Кожен проведений запис маркується часом і датою за допомогою вбудованого годинника реального часу.

На відміну від касетних, цифрові диктофони тяжче виявити під час роботи. Касетні виявляються спеціальними приладами типу ТRD-800, РТRD-18, РТRD-19 і ін. за електромагнітними випромінюваннями працюючого двигуна стрічкопротяжного механізму. Цифрові диктофони виявляються із значно менших відстаней. Зокрема портативний прилад SТ-041 виявляє цифрові диктофони на відстані 20-30 см, а стаціонарний комплекс SТ-0110 на відстані 50-70 см.

Знімання інформації, передаваної по телефонних лініях. Це простий, один з найрезультативніших і найбільш дешевий спосіб. Прослуховування розмови на телефонній лінії, як правило, здійснюється на відрізку «станція-абонент» або ж відразу з апарату (крім випадків, коли цим займаються спецслужби, які підключаються після АТС і техніку яких в цьому випадку практично неможливо виявити).

Телефонні абонентські лінії зазвичай складаються з трьох ділянок: магістрального (від АТС до розподільно''" шафи (РІП)), розподільного (від РШ до розподільної коробки (КРТ)), абонентської проводки (від КРТ до телефонного апарату). Останні дві ділянки - розподільний і абонентський є найуразливішими з погляду перехоплення інформації. Підслуховуючий пристрій може бути встановлене в будь-якому місці, де є доступ до телефонних проводів, телефонного апарату, розетки або в будь-якому місці лінії аж до КРТ. Підключення до телефонних ліній здійснюється не тільки гальванічно (прямим під'єднуванням), а і за допомогою індукційних або ємкісних датчиків. Таке під'єднування практично не виявляється за допомогою тих апаратних засобів, які широко використовуються для пошукових цілей.

Найпоширенішими з подібних засобів прослуховування є телефонні контролери, радіо ретранслятори, які частіше називаються телефонними передавачами, або телефонними закладками.

Телефонні закладки підключаються паралельно або послідовно в будь-якому місці телефонної лінії і мають значний термін служби, оскільки живляться від телефонної мережі. Ці вироби надзвичайно популярні в промисловому шпигунстві завдяки простоті і дешевизні. Для маскування телефонні закладки випускаються у вигляді конденсаторів, реле, фільтрів і інших стандартних елементів і вузлів, що входять до складу телефонного апарату.

Перехоплення факсимільної інформації. Перехоплення факсів принципово не відрізняється від перехоплення телефонних повідомлень. Завдання доповнюється тільки обробкою отриманого повідомлення. Зазвичай комплекси перехоплення і реєстрації факсимільних повідомлень складаються з:

Ш ПК з необхідними, але цілком доступними ресурсами;

Ш пакета програмного забезпечення;

Ш стандартного аудіо-контролера (SoundBlaster);

Ш пристрою підключення до лінії (адаптер).

Комплекси забезпечують автоматичне виявлення (визначення мовне або факсимільне повідомлення), реєстрацію факсимільних повідомлень на жорсткий диск з подальшою можливістю автоматичної демодуляції, дескремблювання зареєстрованих повідомлень і виводу їх на дисплей і друк.

Перехоплення розмов по радіотелефонах і стільниковому зв'язку. Для перехоплення розмов по радіотелефонах досить налаштувати приймач (сканер) на його частоту, що знаходиться в зоні прийому, і встановити відповідний режим модуляції.

Для перехоплення переговорів, що ведуться по мобільному стільниковому зв'язку, необхідно використовувати складнішу апаратуру. В даний час існують різні комплекси контролю стільникової системи зв'язку стандартів АМРS, DАМРS, NАМРS, NМТ-450, NМТ-450i, які розроблені та виготовлені в Росії та країнах Західної Європи. Комплекси дозволяють виявляти і супроводжувати по частоті вхідні і витікаючі дзвінки абонентів стільникового зв'язку, визначати вхідні і витікаючі номери телефонів абонентів, здійснювати стеження по частоті за каналом під час телефонної розмови, зокрема при переході з соти на соту в стільнику. Кількість абонентів, що задаються для контролю, може досягати до 16 і більше. Є можливість вести автоматичний запис переговорів на диктофон, вести на жорсткому диску ПК протокол записів на диктофон, здійснювати повний моніторинг всіх повідомлень, передаваних по службовому каналу, а також визначати радіочутність всіх базових станцій в точці їх прийому з ранжуванням по рівнях сигналів, що приймаються від базових станцій.

Вартість подібних комплексів залежно від стандарту контрольованої системи зв'язку і об'ємів вирішуваних завдань може складати від 5 до 60 тисяч доларів.

IV. Технічні засоби захисту даних від їх витоку

Захист інформації від її витоку технічними каналами зв'язку забезпечується наступними засобами й заходами:

Ш використанням екранованого кабелю й прокладкою проводів і кабелів в
екранованих конструкціях;

Ш установкою на лініях зв'язку високочастотних фільтрів;

Ш побудовою екранованих приміщень («капсул»);

Ш використанням екранованого устаткування;

Ш установкою активних систем зашумлення.

З метою оцінки стану технічного захисту інформації, що обробляється або циркулює в інформаційних системах, комп'ютерних мережах, системах зв'язку, і підготовки обґрунтованих виводів для прийняття відповідних рішень звичайно проводиться експертиза в сфері технічного захисту інформації.

Розглянемо основні поняття, що існують при розгляді технічних засобів захисту даних від їх витоку:

Основні технічні засоби і системи (ОТЗС) - технічні засоби і системи, а також їх комунікації, використовувані для обробки, зберігання і передачі закритої інформації.

Допоміжні технічні засоби і системи (ДТЗС) - технічні засоби, системи і засоби комунікації, не призначені для обробки, зберігання і передачі закритої інформації, але встановлені спільно з ОТЗС (засоби передачі даних по радіозв'язку, кондиціонери і сигналізації).

Інформаційний сигнал - сигнал у вигляді електричних, електромагнітних і інших фізичних полів, при перехопленні якого може бути розкрита інформація, циркулююча в ОТЗС.

Контрольована зона - територія, на якій виключена можливість перебування сторонніх осіб і транспортних засобів.

Засоби захисту від знімання інформації по акустичному каналу: 1 Акустичні генератори перешкод:

портативні (кишенькові) генератори перешкод (захищають невеликі площі. Генерують шум звукової частоти, забезпечуючи маскування розмови і погіршення розбірливості мови. Для людини вони не чутні. Площа зашумлення становить 6-8 м2);

настільні генератори перешкод;

стаціонарні генератори аудіоперешкод (мають в своєму складі вібродатчики, що перешкоджають зніманню інформації по вібро-акустичному каналу).

Спеціальний матеріал - прозорий пластик «Сонар» (з нього виготовляються спеціальні кабіни, в яких можна безпечно вести переговори).

Засоби захисту від записуючих диктофонів (детектори роботи електродвигуна; диктофоношукачі (РТRD-01 - виконаний у вигляді жезла завдовжки 24 см, діаметром 20 мм; радіус дії- до 1,5 м).

Засоби виявлення засобів знімання і передачі інформації:

1. Апаратура контролю і пошуку по електромагнітним імпульсам (ЕМІ).

(виявляє активно працюючі пристрої, що створюють ЕМІ): детектори випромінювання, сканери, аналізатори спектра, селективні мікровольтметри, частотоміри, програмно-апаратні комплекси з радіомоніторингом.

2. Апарати для виявлення непрацюючих пристроїв (нелінійні локатори,
ендоскопи, дефектоскопи, металошукачі, рентгенівські комплекси).

Захист розмов по телефонних лініях:

фіксація факту знімання інформації;

підвищення конфіденційності;

дискретизація мови з подальшим шифруванням (оцифровування, шифрування мови і передача за допомогою модему);

аналогове скремблювання.

Скремблювання - зміна характеристик мовного сигналу так, щоб одержаний сигнал, володіючи властивостями нерозбірливості і невпізнання, займав таку ж смугу частот, як і відкритий мовний сигнал.

Скремблери поділяються на аналогові і комбіновані. Принцип роботи аналогових скремблерів заснований на тимчасовій або частотній перестановці мовного сигналу. Комбіновані скремблери діють аналогічно, але на базі цифрової обробки сигналу.

ЛЕКЦІЯ 5

Тема: Основи захисту даних від комп'ютерних вірусів

План

Шкідливі програми на ЕОМ.

Засоби захисту від комп'ютерних вірусів та їх особливості.

І. Шкідливі програми на ЕОМ

Шкідлива програма - це будь-яке програмне забезпечення, призначене для забезпечення діставання несанкціонованого доступу до інформації, що зберігається на ЕОМ, з метою спричинення шкоди (збитку) власникові інформації або власникові ЕОМ (мережі ЕОМ).

Однією з найнебезпечніших програм є комп'ютерний вірус.

Комп 'ютерний вірус - це спеціально написана програма, здатна мимоволі приєднуватися до інших програм, створювати свої копії та упроваджуватися у файли, системні області комп'ютера або мережі з метою порушення роботи комп'ютера і створення всіляких перешкод.

Класифікацію комп'ютерних вірусів наведено в таблиці 5.1.

Таблиця 5.1 Класифікація комп'ютерних вірусів

№ з/п	За алгоритмом роботи	За середовищем розповсюдження	За ОС	За деструктивними можливостями	За типом носія
1.	Звичайні	Файлові	Мs-dos	Нешкідливі (жарти)	На гнучких магнітних дисках
2.	Шифровані віруси	Завантажувальні	Windows	Небезпечні (ушкоджують ПО)	На жорстких
3.	Приховані	Макровіруси	UNIX	Дуже небезпечні (ушкоджують ПК)	На СD(DVD)-дисках
4.	Поліморфні	Мережеві			На flash-носіях
5.	Макрокомандні	Резидентні
6.	Скрипти

До шкідливих програм, крім вірусів, відносяться також мережеві черв'яки, троянські коні (логічні бомби), intended-віруси, конструктори вірусів і поліморфік-генератори.

Мережеві черв'яки - програми, що розповсюджуються по мережі і не залишають своєї копії на магнітному носії або диску.

До троянських коней відносяться програми, що завдають будь-яку руйнівну дію, в залежності від яких-небудь умов або при кожному запуску знищують інформацію на дисках, зупиняють роботу операційної системи і т.д. Найпоширенішою різновидністю "троянських програм" є широко відомі програми масового використання (редактори, ігри, транслятори і т.п.), в які вбудовані, так звані "логічні бомби", що спрацьовують у випадку виникнення деякої події. Різновидністю "логічної бомби" є "бомба з годинниковим механізмом", яка запускається у визначенні моменти часу.

Потрібно зазначити, що "троянські програми" не можуть самостійно розмножуватися і розповсюджуватися по локальній обчислювальній мережі самими користувачами, зокрема, через загальнодоступні банки даних і програм. У порівнянні з вірусами "троянські коні" не одержали широкого поширення внаслідок достатньо простих причин: вони або знищують себе разом з іншими даними на диску, або демаскують свою присутність і знищуються постраждалим користувачем.

Серед шкідливих програм слід відмітити також «люті жарти» (hoax). До них відносяться програми, що не заподіюють комп'ютеру якоїсь прямої шкоди, проте виводять повідомлення про те, що така шкода вже заподіяна або буде заподіяною за яких-небудь умов, або попереджують користувача про неіснуючу небезпеку. До «лютих жартів» відносяться, наприклад, програми, що лякають користувача повідомленнями про форматування диска (хоча ніякого форматування насправді не відбувається), виявляють віруси в неінфікованих файлах, виводять дивні вірусоподібні повідомлення у залежності від почуття гумору автора такої програми.

До intended-вірусів відносяться програми, що на перший погляд є стовідсотковими вірусами, але не спроможні розмножуватися через помилки. Наприклад, вірус, що при інфікації «забуває» передбачити активізацію вірусу, що розмножується тільки один раз - з «авторської» копії. Інфікувавши якийсь файл, вони втрачають спроможність до подальшого розмноження. Частіше всього intended-віруси з'являються при неякісній перекомпіляції якогось вже існуючого вірусу, або через недостатнє знання мови програмування, або через незнання технічних тонкощів операційної системи.

Конструктор вірусів - це програма, що призначена для виготовлення нових комп'ютерних вірусів. Відомі конструктори вірусів для DOS, Windows і макровірусів. Вони дозволяють генерувати вихідні тексти вірусів (АSM-файли), об'єктні модулі і (або) безпосередньо інфікувати файли.

Поліморфік-генератори, як і конструктори вірусів, не є вірусами в буквальному значенні цього слова, оскільки в їхній алгоритм не закладаються функції розмноження, тобто відкриття, закриття і запису у файли, читання і запису секторів і т.д. Головною функцією подібного роду програм є шифрування тіла вірусу і генерація відповідного розшифровувача. Звичайні поліморфні генератори поширюються їхніми авторами без обмежень у вигляді файла-архіву. Основним файлом в архіві будь-якого генератора є об'єктний модуль, що містить цей генератор. В усіх генераторах, що зустрічалися, цей модуль містить зовнішню (ехternal) функцію - виклик програми генератора. У такий спосіб автору вірусу, якщо він бажає створити справжній поліморфік-вірус, не потрібно розробляти власний за- чи розшифровувач. За бажанням він може підключити до свого вірусу будь-який відомий поліморфік-генератор.

II. Засоби захисту від комп'ютерних вірусів та їх особливості

Для захисту від різноманітних вірусів існує декілька видів антивірусів, які за своїм призначенням поділяють на детектори, фаги, ревізори, фільтри та вакцини. Розглянемо їх характеристики більш докладно.

Детектори (сканери) - перевіряють оперативну або зовнішню пам'ять на наявність вірусу за допомогою розрахованої контрольної суми або сигнатури і складають список ушкоджених програм. Якщо детектор - резидентний, то програма перевіряється і тільки в разі відсутності вірусів вона активується. Детекторами є, наприклад, програма MS Anti Virus.

Фаги (поліфаги) - виявляють та знешкоджують вірус (фаг) або кілька вірусів. Сучасні версії поліфагів, як правило, можуть проводити евристичний аналіз файлу, досліджуючи його на наявність коду, характерного для вірусу (додання частини однієї програми в іншу, шифрування коду тощо). Фагами є, наприклад, програми Aidstest, DrWeb.

Дуже часто функції детектора та фага суміщені в одній програмі, а вибір режиму роботи здійснюється завданням відповідних параметрів (опцій, ключів). На початку вірусної ери кожний новий вірус визначався та лікувався окремою програмою. При цьому для деяких з вірусів (наприклад, VIENNA) цих програм було не менше десятка. Згодом окремі програми почали виявляти та лікувати декілька типів вірусів, тому їх стали звати полідетекторами та поліфагами відповідно.

Сучасні антивірусні програми знаходять і знешкоджують багато тисяч різновидів вірусів і заради простоти їх звуть коротко детекторами та фагами. Серед детекторів та фагів найбільш відомими та популярними є програми Аidstest, DrWeb (фірма «ДиалогНаука», Росія), Sсаn, Сlean (фірма МсАfее Аssociates, США), Norton AntiVirus (фірма Symantec Соrporation, США). Ці програми періодично поновлюються, даючи користувачеві змогу боротися з новими вірусами.

Ревізори - програми, що контролюють можливі засоби зараження комп'ютера, тобто вони можуть виявити вірус, невідомий програмі. Ці програми перевіряють стан ВООТ-сектора, FAТ-таблиці, атрибути файлів. При створенні будь-яких змін користувачеві видається повідомлення (навіть у разі відсутності вірусів, але наявності змін).

При першому запуску ревізор утворює таблиці, куди заносить інформацію про вільну пам'ять, Раrtition Таble, Вооt-сектор, директорії, файли, що містяться у них, погані кластери тощо. При повторному запуску ревізор сканує пам'ять та диски і видає повідомлення про всі зміни, що відбулися у них з часу останнього сеансу ревізії. Нескладний аналіз цих змін дозволяє надійно визначити факт зараження комп'ютера вірусами. Серед ревізорів найбільш популярною є програма АDinf (фірма «ДиалогНаука», Росія).

Свого часу, коли не було надійних засобів боротьби з вірусами, широкого поширення набули так звані фільтри. Ці антивірусні програми блокують операцію записування на диск і виконують її тільки при вашому дозволі. При цьому легко визначити, чи то ви санкціонували команду на запис, чи то вірус 'Намагається щось заразити. До числа широко відомих свого часу фільтрів можна віднести програми VirBlk, FluShot та ін.

Зараз фільтри майже не використовують, оскільки вони, по-перше, дуже незручні, бо відволікають час на зайвий діалог, по-друге, деякі віруси можуть обманювати їх.

Сторожі - резидентні програми, які постійно зберігаються у пам'яті комп'ютера й у визначений користувачем час перевіряють оперативну пам'ять комп'ютера, файли, ВООТ-сектор, FAТ-таблицю. Сторожем є, наприклад, програма АVР.

Вакцини - це програми, які використовуються для оброблення файлів та завантажувальних секторів з метою передчасного виявлення вірусів. Існують три рубежі захисту від комп'ютерних вірусів:

Запобігання надходженню вірусів.

Запобігання вірусній атаці, якщо вірус усе-таки потрапив у комп'ютер.

Запобігання руйнівним наслідкам, якщо атака відбулася. Є три методи реалізації рубіжної оборони:

«Програмні методи захисту».

Апаратні методи захисту.

Організаційні методи захисту.

Основним засобом захисту інформації є резервне копіювання найцінніших даних. У разі втрати інформації внаслідок будь-якої з названих вище причин, жорсткий диск треба відформатувати й підготувати до нової експлуатації. На «чистий» диск установлюють операційну систему з дистрибутивного компакт-диска, потім під її керуванням треба встановити все необхідне програмне забезпечення, яке теж беруть з дистрибутивних носіїв. Відновлення комп'ютера завершують відновленням даних, які беруть з резервних носіїв.

Створюючи план заходів з резервного копіювання інформації, необхідно враховувати, що резервні копії повинні зберігатися окремо від комп'ютера. Робто, наприклад, резервне копіювання інформації на окремому жорсткому дискові того самого комп'ютера лише створює ілюзію безпеки. Відносно новим і досить надійним методом зберігання даних є зберігання їх на віддалених серверах в Інтернеті. Є служби, які безплатно надають простір для зберігання даних користувача.

Допоміжним засобом захисту інформації є антивірусні програми та засоби апаратного захисту. Рак, наприклад, просте відключення перемички на материнській платі не дозволить здійснити стирання перепрограмовуваної мікросхеми ПЗП (флеш-BIOS), незалежно від того, хто буде намагатися зробити це: комп'ютерний вірус чи неакуратний користувач.

Існує досить багато програмних засобів антивірусного захисту, їхні можливості такі:

Створення образу жорсткого диска на зовнішніх носіях. У разі виходу з ладу інформації в системних ділянках жорсткого диска, збережений «образ диска» може дозволити відновити якщо не всю інформацію, то принаймні її більшу частину. Цей засіб може захистити від утрати інформації під час апаратних збоїв та неакуратного форматування жорсткого диска.

Регулярне сканування жорсткого диска в пошуках комп'ютерних вірусів. Сканування звичайно виконують автоматично під час кожного ввімкнення комп'ютера або при розміщенні зовнішнього диска у зчитувальному пристрої. Під час сканування треба мати на увазі, що антивірусна програма шукає вірус шляхом порівняння коду програми з кодами відомих їй вірусів, що зберігаються в базі даних. Якщо база даних застаріла, а вірус є новим, то програма сканування його не виявить. Для надійної роботи варто регулярно оновлювати антивірусну програму. Так, наприклад, руйнівні наслідки атаки вірусу W95.СІМ. 1075 («Чорнобиль»), який знищив інформацію на сотнях тисяч комп'ютерів ... 26 квітня 1999 року, були пов'язані не з відсутністю засобів захисту від нього, а з тривалою затримкою (більше року) в оновленні цих засобів.

Контроль за змінами розмірів та інших атрибутів файлів. Оскільки на етапі розмноження деякі комп'ютерні віруси змінюють параметри заражених файлів, програма контролю може виявити їх діяльність і попередити користувача.

Контроль за зверненням до жорсткого диска. Оскільки найнебезпечніші операції, пов'язані з діяльністю комп'ютерних вірусів, так чи інакше спрямовані на модифікацію даних, записаних на жорсткому дискові, антивірусні програми можуть контролювати звернення до нього та попереджати користувача щодо підозрілої активності.

ЛЕКЦІЯ 6

Тема: Основи криптографії

План

Основні терміни та поняття.

Історія і законодавча база криптографії.

І. Основні терміни та поняття

Криптографія (від грецького kryptos - прихований і graphein - писати) -наука про математичні методи забезпечення конфіденційності і автентичності інформації.

Розвинулась дана наука з практичної потреби передавати важливі відомості найнадійнішим чином. Для сучасної криптографії характерне використання відкритих алгоритмів шифрування, що припускають використання обчислювальних засобів. Відомо більш десятка перевірених алгоритмів шифрування, які при використанні ключа достатньої довжини і коректної реалізації алгоритму роблять шифрований текст недоступним для криптоаналізу. Широко використовуються такі алгоритми шифрування, як Twofish, IDEA, RС4 та ін.

В криптографії застосовуються такі поняття:

Шифрування- процес перетворення звичайної інформації (відкритого тексту) в шифротекст.

Дешифрування - процес перетворення зашифрованої інформації у придатну для читання інформацію.

Кодування - заміна логічних (смислових) елементів, наприклад, слів.

Шифром називається пара алгоритмів шифрування-дешифрування.

Дія шифру керується як алгоритмами, так і в кожному випадку, ключем.

Ключ - це секретний параметр (в ідеалі, відомий лише двом сторонам) для окремого контексту під час передачі повідомлення.

Ключі мають велику важливість, оскільки без змінних ключів алгоритми шифрування легко зламуються і непридатні для використання в більшості випадків. Історично склалось так, що шифри часто використовуються для шифрування та дешифрування без виконання додаткових процедур, таких як аутентифікація або перевірка цілісності.

Алфавіт - кінцева множина, використовувана для кодування інформаційних знаків.

Текст - впорядкований набір з елементів алфавіту

Відкритий текст - початкове повідомлення, яке повинен захистити криптограф.

Стійкість - здатність протистояти спробам техніки і знаннями криптоаналізу розшифрувати перехоплене повідомлення, розкрити ключ шифру або порушити цілісність, достовірність інформації.

Криптостійкість - характеристика шифру, визначальна його стійкість до процесу дешифрування. Вимірюється кількість всіляких ключів, середній час, який потрібен для криптоаналізу з одним ключем.

В англійській мові слова криптографія та криптологія інколи мають однакове значення. В той час, як деколи під криптографією може розумітись використання та дослідження технологій шифрування, а під криптологією -- дослідження криптографії.

Дослідження характеристик мов, що мають будь-яке відношення до криптрлогії, таких як частоти появи певних літер, комбінацій літер, загальні шаблони тощо, називається криптолінгвістикою.

Система криптографічного захисту повинна забезпечувати:

Ш Конфіденційність - інформація повинна бути захищена від несанкціонованого прочитання як при зберіганні, так і при передачі. Якщо порівнювати з паперовою технологією, то це аналогічно запечатуванню інформації в конверт. Зміст стає відомим тільки після того, як буде відкритий запечатаний конверт. Криптографічний захист забезпечується шифруванням.

Страницы: 1, 2, 3