 |
АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция
Разделение ключа
Говорят, что секрет – это уже не секрет, когда его знают два человека. Разделение закрытого ключа опровергает такое мнение. Хотя это и не рекомендуемая практика, разделение закрытого ключа в определённых ситуациях бывает необходимо. Например, корпоративные ключи подписания (Corporate Signing Keys, CSK) – это особо важные закрытые ключи, используемые организацией, например, для заверения правовых документов, личной информации сотрудников или пресс-релизов для удостоверения авторства. В данном случае будет полезно, чтобы несколько членов компании имело доступ к закрытому ключу. Но это равно будет значить, что каждый из членов команды сможет свободно и в полной мере выступать от имени компании.
Решением подобной проблемы является разделение и распределение закрытого ключа между несколькими лицами таким образом, что для восстановления его в рабочее состояние нужно присутствие более одного или двух хранителей частей (долей) ключа. Если собрано слишком мало долей – ключ бесполезен.
Например, можно разделить ключ на три доли с требованием любых двух из них для реконструкции или разделить его на две доли с необходимостью использования обеих. Если для процедуры реконструкции применяется защищённое сетевое соединение, хранителям долей ключа не нужно присутствовать вместе в одной географической точке.
Защита от вредоносных программ
Большинство специалистов делит вредоносные программы на три большие группы: компьютерные вирусы, сетевые черви и троянские программы. Компьютерные вирусы обладают способностью размножаться и внедряют свои копии в другие файлы; сетевые черви размножаются по различным сетевым ресурсам (почта, Web-сайты и пр.), но не внедряют копии в другие файлы; троянские программы не размножаются и не рассылаются сами, но выполняют на компьютерах различные вредоносные действия. Наглядная классификация вредоносных программ и примеры наиболее ярких представителей каждого семейства представлены на рис. 1.
Вирусы
Компьютерные вирусы — это программы, способные распространяться самостоятельно, дописывая свой код к файлам или в служебные области диска. Вирусы могут быть менее опасными (вызывать нежелательные видеоэффекты) и более опасными (изменять или уничтожать информацию владельца), но в любом случае, даже если вирус не содержит деструктивных функций, он так или иначе влияет на работу системы — занимает место и может мешать работе других программ.
Вирусы можно разделить на классы по следующим основным признакам:
- среда обитания;
- операционная система (OC);
- особенности алгоритма работы;
- деструктивные возможности.
По СРЕДЕ ОБИТАНИЯ вирусы можно разделить на:
- файловые;
- загрузочные;
- макро;
- сетевые.
Файловые вирусы — при размножении используют файловую систему какой-либо ОС. В свою очередь, по способу заражения файловые вирусы делятся на целый ряд подгрупп:
· оverwriting-вирусы записывают свой код вместо кода заражаемого файла, уничтожая его содержимое;
· рarasitic-вирусы изменяют содержимое файлов, оставляя при этом сами файлы полностью или частично работоспособными;
· сompanion-вирусы не изменяют заражаемых файлов, а создают для заражаемого файла файл-двойник, причем при запуске зараженного файла управление получает именно этот двойник, то есть вирус;
· Файловые черви (worms) являются разновидностью компаньон-вирусов, однако не связывают свое присутствие с каким-либо выполняемым файлом. При размножении они всего лишь копируют свой код в какие-либо каталоги дисков в расчете на то, что эти новые копии будут когда-либо запущены пользователем. Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты;
· Link-вирусы, как и компаньон-вирусы, не изменяют физического содержимого файлов, однако при запуске зараженного файла «заставляют» ОС выполнить свой код за счет модификации необходимых полей файловой системы;
· ОВJ, LIB и вирусы в исходных текстах представляют собой группу вирусов, которые заражают библиотеки компиляторов, объектные модули и исходные тексты программ. Вирусы, заражающие ОBJ- и LIB-файлы, записывают в них свой код в формате объектного модуля или библиотеки. Зараженный файл не является выполняемым и не способен на дальнейшее распространение вируса в текущем состоянии. Носителем же «живого» вируса становится СОМ- или EXE-файл, получаемый в процессе линковки зараженного ОBJ- / LIB -файла с другими объектными модулями и библиотеками.
Загрузочные вирусы называются так потому, что заражают загрузочный (boot) сектор — записывают себя в загрузочный сектор диска (boot-сектор) либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record).Загрузочные вирусы замещают код программы, получающей управление при загрузке системы. Таким образом, при перезагрузке управление передается вирусу.
Макровирусы являются программами на макроязыках, встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). Они заражают документы и электронные таблицы ряда офисных редакторов. Для размножения эти вирусы используют возможности макроязыков и с их помощью переносят себя из одного зараженного файла в другие. Наибольшее распространение получили макровирусы для Microsoft Word, Excel и Office 97. Вирусы этого типа получают управление при открытии зараженного файла и инфицируют файлы, к которым впоследствии идет обращение из соответствующего офисного приложения — Word, Excel и пр.
Скрипт-вирусы — это вирусы, написанные на скрипт-языках, таких как Visual Basic Script, Java Script и др. Они, в свою очередь, делятся на вирусы для DOS, Windows и для других систем.
Существует большое количество сочетаний - например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему, используют стелс и полиморфик-технологии. Другой пример такого сочетания - сетевой макро-вирус, который не только заражает редактируемые длокументы, но и рассылает свои копии по электронной почте.
Заражаемая ОПЕРАЦИОННАЯ СИСТЕМА (вернее, ОС, объекты которой подвержены заражению) является вторым уровнем деления вирусов на классы. Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких OS - DOS, Windows, Win95/NT, OS/2 и т.д. Макро-вирусы заражают файлы форматов Word, Excel, Office97. Загрузочные вирусы также ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков.
Среди ОСОБЕННОСТЕЙ АЛГОРИТМА РАБОТЫ вирусов выделяются следующие пункты:
· резидентность;
· использование стелс-алгоритмов;
· самошифрование и полиморфичность;
· использование нестандартных приемов.
РЕЗИДЕНТНЫЙ вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы. Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными.
Резидентными можно считать макро-вирусы, поскольку они постоянно присутствуют в памяти компьютера на все время работы зараженного редактора. При этом роль операционной системы берет на себя редактор, а понятие «перезагрузка операционной системы» трактуется как выход из редактора.
В многозадачных операционных системах время «жизни» резидентного DOS-вируса также может быть ограничено моментом закрытия зараженного DOS-окна, а активность загрузочных вирусов в некоторых операционных системах ограничивается моментом инсталляции дисковых драйверов OC.
Использование СТЕЛС-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс-алгоритмом является перехват запросов OC на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо «подставляют» вместо себя незараженные участки информации. В случае макро-вирусов наиболее популярный способ — запрет вызовов меню просмотра макросов. Один из первых файловых стелс-вирусов — вирус «Frodo», первый загрузочный стелс-вирус — «Brain».
САМОШИФРОВАНИЕ и ПОЛИМОРФИЧНОСТЬ используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования вируса. Полиморфик-вирусы (polymorphic) - это достаточно труднообнаружимые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.
Различные НЕСТАНДАРТНЫЕ ПРИЕМЫ часто используются в вирусах для того, чтобы как можно глубже спрятать себя в ядре OC (как это делает вирус «3APA3A»), защитить от обнаружения свою резидентную копию (вирусы «TPVO», «Trout2»), затруднить лечение от вируса (например, поместив свою копию в Flash-BIOS) и т.д.
По ДЕСТРУКТИВНЫМ ВОЗМОЖНОСТЯМ вирусы можно разделить на:
· безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);
· неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами;
· опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;
· очень опасные, в алгоритм работы которых заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, и даже, как гласит одна из непроверенных компьютерных легенд, способствовать быстрому износу движущихся частей механизмов - вводить в резонанс и разрушать головки некоторых типов винчестеров.
Но даже если в алгоритме вируса не найдено ветвей, наносящих ущерб системе, этот вирус нельзя с полной уверенностью назвать безвредным, так как проникновение его в компьютер может вызвать непредсказуемые и порой катастрофические последствия. Ведь вирус, как и всякая программа, имеет ошибки, в результате которых могут быть испорчены как файлы, так и сектора дисков. До сих пор попадаются вирусы, определяющие «COM или EXE» не по внутреннему формату файла, а по его расширению. Естественно, что при несовпадении формата и расширения имени файл после заражения оказывается неработоспособным. Возможно также «заклинивание» резидентного вируса и системы при использовании новых версий DOS, при работе в Windows или с другими мощными программными системами.
Сетевые черви
Червей (worms) часто называют вирусами, хотя, строго говоря, они таковыми не являются, — это программы, которые не изменяют файлы на дисках, а распространяются в компьютерной сети, проникают в память компьютера, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Программы этого типа могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти). Сетевые черви подразделяются на следующие типы: Интернет-черви (распространяются по Интернету), LAN-черви (распространяются по локальной сети), IRC-черви Internet Relay Chat (распространяются через чаты), P2P-черви (перемещаются по сетям Peer-to-Peer).
Поиск по сайту: