Проблема контроля целостности самой контролирующей программы
Другая проблема реализации механизмов контроля целостности состоит в следующем - если контроль целостности реализуется программно, то возникает вопрос контроля целостности и корректности функционирования собственно контролирующей программы (можно же исполняемый файл данной программы модифицировать первым).
Естественно, что для решения данной задачи в общем случае необходимо осуществление контроля каким-либо внешним средством — аппаратной компонентой. Такой подход, например, используется в некоторых вариантах реализации аппаратной системы защиты «Электронный замок». Здесь платой контролируется целостность файлов еще до загрузки системы — загрузка системы (как следствие, системы защиты) при этом разрешается только в эталонном виде.
Однако это лишь частичное решение проблемы, т.к. остается задача контроля в процессе функционирования системы, которая вновь возлагается на программное средство. При этом опять же контролирующая программа может быть модифицирована, например, остановлено ее выполнение.
Для решения данной задачи может рассматриваться следующий альтернативный подход — контроль целостности возлагается на программную компоненту, аппаратная же компонента системы защиты обеспечивает корректное выполнение контролирующей программы. Данный подход позволяет решать задачу контроля в течение всего времени функционирования системы, предотвращая при этом возможность некорректного функционирования контролирующей программы, т.е. решать задачу в общем случае.
Защита от компьютерных вирусов и других программных действий и изменений – самостоятельное направление защиты процессов переработки информации в КС. Недооценка этой безопасности может иметь серьезные поледствия для информации пользователя.
Знание механизмов действия вирусов, методов и средств борьбы с ними позволяет эффективно организовать противодействие вирусам, свести к минимуму вероятность заражения и потерь от их воздействия.
«Компьютерные вирусы» - это небольшие исполняемые или интерпретируемые программы, обладающие свойством распространения и самовоспроизведения (репликации) в КС. Вирусы могут выполнять изменение или уничтожение программного обеспечения или данных, хранящихся в КС. В процессе распространения вирусы могут себя модифицировать.
В настоящее время в мире существует несколько десятков тысяч зарегистрированных компьютерных вирусов.
Все компьютерные вирусы классифицируются по следующим признакам:
1. По среде обитания:
- Сетевые. Их средой обитания являются элементы компьютерных сетей.
- Файловые. Размещаются в исполняемых файлах.
- Загрузочные. Находятся в загрузочных секторах внешних запоминающих устройств (boot-секторах). Иногда их называют boot-ами.
- Комбинированные. Размещаются в нескольких средах обитания. Например, загрузочно-файловые вирусы размещаются как загрузочных секторах накопителей на магнитных дисках, так и в теле загрузочных файлов.
2. По способу заражения:
- Резидентные вирусы. После их активизации полностью или частично перемещаются из среды обитания (сети, загрузочные сектора, файлы) в оперативную память компьютера. Эти вирусы, используя, как правило, привилегированные режимы работы, разрешённые только операционной системе, заражают среду обитания и при выполнении определённых условий реализуют деструктивную функцию.
- Нерезидентные вирусы. Попадают в оперативную память компьютера только на время их активности, в течение которого выполняют деструктивную функцию и функцию заражения. Затем они полностью покидают оперативную память, оставаясь в среде обитания.
Если вирус попадает в оперативную память программы, которая не заражает среду обитания, то он нерезидентный.
Арсенал вредительских возможностей компьютерных вирусов весьма обширен. Вредительские возможности вирусов зависят от целей и квалификации их создателя, а также от особенностей компьютерных систем.
3. По степени опасности деструктивных (вредительских) воздействий на информационные ресурсы и пользователя:
- Безвредные вирусы. Создаются авторами, которые не ставят себе цели нанести какой-либо ущерб ресурсам КС. Ими движет желание показать свои способности программиста. Создание компьютерных вирусов для таких людей – своеобразная попытка самоутвердиться. Их вредительское воздействие сводится к выводу на экран монитора невинных текстов и картинок, исполнению музыкальных фрагментов и т. п.
Однако при всей кажущейся безобидности таких вирусов они наносят определенный ущерб КС. Во-первых, такие вирусы расходуют ресурсы КС, в той или иной мере снижая ее эффективность функционирования. Во-вторых, компьютерные вирусы могут содержать ошибки, вызывающие опасные последствия для информационных ресурсов КС. Кроме того, при модернизации операционной системы или аппаратных средств КС вирусы, созданные ранее, могут приводить к нарушениям штатного алгоритма работы системы.
- Опасные вирусы. Вызывают существенное снижение эффективности КС, но не приводят к нарушению целостности и конфиденциальности информации, хранящейся в запоминающих устройствах. Последствия таких вирусов могут быть ликвидированы без особых затрат материальных и временных ресурсов.
Примерами таких вирусов являются вирусы, занимающие память ЭВМ и каналы связи, но не блокирующие работу сети; вирусы, вызывающие необходимость повторного выполнения программ, перезагрузки операционной системы или повторной передачи данных по каналам связи и т. п.
- Очень опасные вирусы. Это вирусы, вызывающие нарушение конфиденциальности, уничтожение, необратимую модификацию (в том числе и шифрование) информации, а также вирусы, блокирующие доступ к информации, приводящие к отказу аппаратных средств и наносящие ущерб здоровью пользователям. Такие вирусы стирают отдельные файлы, системные области памяти, форматируют диски, получают несанкционированный доступ к информации, шифруют данные и т. п.
Одни авторы предполагают, что на резонансной частоте движущиеся части электромеханических устройств, например, в системе позиционирования накопителя на магнитных дисках, могут быть разрушены. Именно такой режим и может быть создан с помощью программы-вируса.
Другие авторы утверждают, что возможно задание режимов интенсивного использования отдельных электронных схем (например, больших интегральных схем), при которых наступает их перегрев и выход из строя.
Использование в современных ПЭВМ постоянной памяти с возможностью перезаписи привело к появлению вирусов, изменяющих программы BIOS, что приводит к необходимости замены постоянных запоминающих устройств.
Возможно также воздействие на психику человека–оператора ЭВМ с помощью подбора видеоизображения, выдаваемого на экран монитора с определенной частотой (каждый двадцать пятый кадр). Встроенные кадры этой видеоинформации воспринимаются человеком на подсознательном уровне. В результате такого воздействия возможно нанесение серьезного ущерба психике человека.
4. По алгоритму функционирования:
- Не изменяющие среду обитания при их распространении;
- Изменяющие среду обитания при их распространении.
В свою очередь, вирусы, не изменяющие среду обитания, могут быть разделены на две группы:
· Вирусы-"спутники" не изменяют файлы. Механизм их действия состоит в создании копий исполняемых файлов. Например, в MS-DOS такие вирусы создают копии для файлов, имеющих расширение .ЕХЕ. Копии присваивается то же имя, что и исполняемому файлу, но расширение изменяется на .СОМ. При запуске файла с общим именем операционная система первым загружает на выполнение файл с расширением .СОМ, который является программой-вирусом. Файл-вирус запускает затем и файл с расширением .ЕХЕ.
· Вирусы-"черви" попадают в рабочую станцию из сети, вычисляют адреса рассылки вируса по другим абонентам сети и осуществляют передачу вируса. Вирус не изменяет файлов и не записывается в загрузочные секторы дисков. Некоторые вирусы-"черви" создают рабочие копии вируса на диске, другие - размещаются только в оперативной памяти ЭВМ.
По сложности, степени совершенства и особенностям маскировки алгоритмов вирусы, изменяющие среду обитания, делятся на:
- Студенческие. К ним относят вирусы, создатели которых имеют низкую квалификацию. Такие вирусы, как правило, являются нерезидентными, часто содержат ошибки, довольно просто обнаруживаются и удаляются.
- "Стелс" - вирусы (вирусы-невидимки). Маскируют свое присутствие в среде обитания путем перехвата обращений операционной системы к пораженным файлам, секторам и переадресуют ОС к незараженным участкам информации.
Вирус является резидентным, маскируется под программы ОС, может перемещаться в памяти. Такие вирусы активизируются при возникновении прерываний, выполняют определенные действия, в том числе и по маскировке, и только затем управление передается на программы ОС, обрабатывающие эти прерывания. "Стелс"-вирусы обладают способностью противодействовать резидентным антивирусным средствам.
- Полиморфные. Не имеют постоянных опознавательных групп - сигнатур. Обычные вирусы для распознавания факта заражения среды обитания размещают в зараженном объекте специальную опознавательную двоичную последовательность или последовательность символов (сигнатуру), которая однозначно идентифицирует зараженность файла или сектора.
Сигнатуры используются на этапе распространения вирусов для того, чтобы избежать многократного заражения одних и тех же объектов, так как при многократном заражении объекта значительно возрастает вероятность обнаружения вируса. Для устранения демаскирующих признаков полиморфные вирусы используют шифрование тела вируса и модификацию программы шифрования. За счет такого преобразования полиморфные вирусы не имеют совпадений кодов.
"Стелc"-вирусы и полиморфные вирусы создаются квалифицированными специалистами, хорошо знающими принцип работы аппаратных средств и операционной системы, а также владеющими навыками работы с машиноориентированными системами программирования.
