Файл: Основные угрозы и методы обеспечения информационной безопасности. Принципы защиты информации от несанкционированного доступа. Антивирусная защита информации.pptx

Aids Information Diskette (декабрь 1989) — первая эпидемия троянской программы. Ее автор разослал около 20000 дискет с вирусом по адресам в Европе, Африке и Австралии, похищенным из баз данных Организации всемирного здравоохранения и журнала PC Business World. После запуска вредоносная программа автоматически внедрялась в систему, создавала свои собственные скрытые файлы и директории и модифицировала системные файлы. Через 90 загрузок операционной системы все файлы на диске становились недоступными, кроме одного - с сообщением, предлагавшим прислать $189 на указанный адрес. Автор троянца, Джозеф Попп (Joseph Popp), признанный позднее невменяемым, был задержан в момент обналичивания чека и осужден за вымогательство. Фактически, Aids Information Diskette - это первый и единственный вирус, для массовой рассылки использовавший настоящую почту.

Первые вирусные эпидемии

Cascade (1989) — резидентный зашифрованный вирус, вызывающий характерный видеоэффект - осыпание букв на экране. Примечателен тем, что послужил толчком для профессиональной переориентации Евгения Касперского на создание программ-антивирусов, будучи обнаруженным на его рабочем компьютере. Уже через месяц второй инцидент (вирус Vacsina) был закрыт при помощи первой версии антивируса — V, который несколькими годами позже был переименован в AVP — AntiViral Toolkit Pro

Первые вирусные эпидемии

Eddie (также известен как Dark Avenger, 1989 год) — первый вирус, противодействующий антивирусному программному обеспечению: он заражает новые файлы, пока антивирус проверяет жесткий диск компьютера. Это достигалось применением особой технологии, позволяющей заражать не только COM/EXE- программы в момент их запуска, но и любые файлы при попытке прочтения.

Признаки заражения вирусом

замедление работы компьютера
уменьшение объема свободной оперативной памяти
зависание, перезагрузка или блокировка компьютера
ошибки при работе ОС или прикладных программ
изменение длины файлов
появление новых файлов
рассылка спама

Чтобы выполнить какие-то действия, вирус должен оказаться в памяти и получить управление компьютером.

!

Что заражают вирусы?

Вирусы заражают программный код!

!

исполняемые программы (*.exe)
загрузочные секторы дисков (MBR = Master Boot Record)
пакетные командные файлы (*.bat)
драйверы (*.sys)
библиотеки динамической загрузки (*.dll)
документы c макросами
веб-страницы (внедрение программы-скрипта)

Вирусы НЕ заражают файлы с данными: тексты, рисунки, звук, видео!

!

Как распространяются вирусы?

Основные источники заражения – флэш-диски и компьютерные сети!

!

запуск заражённого файла
загрузка с заражённого диска
автозапуск заражённого флэш-диска (autorun.inf)
открытие заражённого документа с макросами
открытие сообщения электронной почты
запуск программы, полученной в письме
открытие веб-страницы с вирусом
установка активного содержимого для просмотра веб-страницы
по сетям (вирусы-черви, без участия человека)

Типы вредоносных программ

файловые
загрузочные
макровирусы

по среде обитания

Полиморфные вирусы: при создании копии немного изменяют код.

Сетевые черви: посылают по сети пакеты (эксплойты), позволяющие выполнить код удалённо.

Почтовые черви: распространяются через исполняемые программы в приложении к письму.

нужно ставить «заплатки» (исправления, «патчи»)

Google: запрет пересылки исполняемых файлов

скриптовые вирусы
сетевые вирусы

социальная инженерия: спровоцировать на запуск файла

«Троянские» программы

клавиатурные шпионы
похитители паролей
утилиты удалённого управления (backdoor)
логические бомбы (уничтожают информацию на дисках)

Распространяются вместе с кодеками, червями, «кряками»!

!

Защита от вредоносных программ

Первые антивирусные утилиты (1984 год) были написаны Анди Хопкинсом (Andy Hopkins). Программы CHK4BOMB и BOMBSQAD позволяли производить анализ загрузочного модуля с помощью контекстного поиска и перехватывать операции записи и форматирования, выполняемые через BIOS. На то время они были очень эффективны и быстро завоевали популярность. Dr. Solomon's Anti-Virus Toolkit (1988) — первая широко известная антивирусная программа. Созданная английским программистом Аланом Соломоном (Alan Solomon), она завоевала огромную популярность и просуществовала до 1998 года, когда компания Dr. Solomon была поглощена другим производителем антивирусов - американской Network Associates (NAI). Кроме официального переименования Arpanet в Интернет, следующий год ознаменовался выходом в свет первого номера Virus Bulletin (июль 1989) — самого популярного на сегодняшний день издания, содержащего последние новости в сфере вирусных и антивирусных технологий: подробную информацию о новых вредоносных программах, методах защиты от вирусов и устранения последствий заражения. Основателями журнала выступили руководители английской антивирусной компании Sophos Ян Храске (Jan Hruska), Питер Лэммер (Peter Lammer) и Эд Уайлдинг (Ed Wilding). Впоследствии редакция Virus Bulletin (1991) начала проводить ежегодные конференции для антивирусных экспертов, где корпоративные заказчики имеют возможность напрямую общаться с ведущими специалистами в этой области. В январе 1998 года была учреждена награда VB 100%, присуждаемая антивирусным программам по результатам проводимого редакцией Virus Bulletin тестирования. Количество наград VB 100%, полученных в результате тестирования сегодня зачастую является одним из основных критериев в выборе средств антивирусной защиты. В качестве ответа через пару месяцев Dr. Solomon's запустила свой собственный издательский проект - Virus Fax International, впоследствии переименованный в Secure Computing. Сегодня этот журнал является одним из наиболее

популярных изданий в области защиты информации, специализируясь на анализе не только антивирусных программ, но также всего спектра программных и аппаратных средств, применяемых для обеспечения компьютерной безопасности.

Что такое антивирус?

Антивирус — это программа, предназначенная для борьбы с вредоносными программами.

Задачи:

не допустить заражения
обнаружить присутствие вируса
удалить вирус без ущерба для остальных данных

Антивирусный комплекс

сканер

монитор

Антивирус-сканер («доктор»)

защита «по требованию» (нужен запуск)
поиск в файлах сигнатур вирусов, которые есть в базе данных
после обнаружения – лечение или удаление
эвристический анализ – поиск кода, похожего на вирус

нужно обновлять!

лечит известные вирусы
до запуска не занимает память и время процессора

не может предотвратить заражение

Антивирус-монитор

постоянная защита
проверка файлов при файловых операциях
проверка флэш-дисков
перехват подозрительных действий
проверка данных из Интернета
защита от «фишинга» и спама

предотвращает заражение, в том числе и неизвестными вирусами

замедляет работу компьютера
может мешать работе программ и ОС

Антивирусы

AVP = Antiviral Toolkit Pro (www.avp.ru) – Е. Касперский

DrWeb (www.drweb.com) – И. Данилов

NOD32 (www.eset.com)

Коммерческие

Бесплатные

Security Essential (http://www.microsoft.com/security_essentials/)

Avast Home (www.avast.com)

Antivir Personal (free-av.com)

AVG Free (free.grisoft.com)

Есть бесплатные пробные версии!

!

shareware

Онлайновые антивирусы

устанавливают на компьютер активный модуль (ActiveX), который проверяет файлы…
или файл пересылается на сайт разработчика антивирусов

http://www.kaspersky.ru/virusscanner

http://www.bitdefender.com

http://security.symantec.com

http://us.mcafee.com/root/mfs/default.asp

чаще всего не умеют лечить, предлагает купить антивирус

Сетевой экран

Сеть

брандмауэр

Брандмауэр (файервол)

Фильтрация пакетов:

по адресам источника и приёмника
по портам (каналам подключения)

Контролирует

подключения из внешней сети
передачу данных из внутренней сети

не проверяет данные

Agnitum Outpost (www.agnitum.com)

Kerio Winroute Firewall (kerio.ru)

Comodo Personal Firewall (www.personalfirewall.comodo.com)

бесплатно!