Файл: Курс лекций для студентов очной формы обучения специальности 10. 02. 01 Организация и технология защиты информации.pdf

27 кадр, он проверяет MAC-адрес источника. Коммутатор перезаписывает текущую запись в таблице CAM и назначает MAC-адрес новому порту, как показано на рис. 2. Затем он пересылает кадры, предназначенные для целевого хоста, на атакующий хост.
Еще одним примером подмены является подмена приложения или службы. Злоумышленник может подключить мошеннический сервер DHCP, чтобы сформировать состояние «человек посередине».
Тема 2.5.1 Защитные механизмы ОС Windows, Linux, Unix
Защита файлов Windows (WFP) служит для предотвращения перезаписи программами важных файлов операционной системы. Такие файлы нельзя перезаписывать, поскольку они используются как самой операционной системой, так и другими программами. Защита таких файлов необходима для предупреждения возможных неполадок в работе операционной системы и установленного программного обеспечения.
Механизм WFP отвечает за защиту важных системных файлов, устанавливаемых вместе с Windows (например, файлы с расширениями dll, exe, ocx и sys, а также некоторые шрифты True Type). Проверка правильности версии защищенных системных файлов производится с помощью подписей файлов и файлов каталога, созданных в процессе подписывания. Замена защищенных файлов операционной системы возможна только посредством следующих механизмов.

При установке пакетов обновления для Windows с помощью программы Update.exe.

При установке исправлений с помощью программ Hotfix.exe и
Update.exe.

При обновлении операционной системы с помощью программы
Winnt32.exe.

При использовании веб-узла Windows Update.
Если для замены защищенного файла используется другой способ, функция WFP восстанавливает исходные файлы. При установке важных системных файлов установщик Windows не устанавливает и не заменяет их самостоятельно, а всегда использует механизм WFP, обращаясь к нему с запросом установки или замены защищенных файлов.
Принцип работы механизма защиты файлов Windows
Для защиты файлов операционной системы в WFP предусмотрены два механизма. Первый механизм работает в фоновом режиме и активируется после того, как WFP получает уведомление об изменении папки для файла из защищенной папки. После получения этого уведомления WFP определяет, какой файл был изменен. Если был изменен защищенный файл, WFP находит в файле каталога подпись защищенного файла для проверки правильности

28 версии нового файла. Если версия является неправильной, новый файл заменяется исходным из папки кэша (если он там имеется) или источника установки. Поиск файла допустимой версии производится в следующем порядке.
1. Папка кэша (по умолчанию %systemroot%\system32\dllcache).
2. Путь к сетевому источнику установки, если он был использован для установки операционной системы.
3. Компакт-диск Windows, если он был использован для установки операционной системы.
Если файл удается найти в папке кэша или выполняется автоматическое обнаружение источника установки, файл заменяется без уведомления пользователя. Если WFP не удается автоматически найти файл ни в одном из этих местоположений, пользователь получает одно из следующих сообщений, в которых имя_файла – это имя замененного файла, а продукт – это используемый продукт Windows.

Защита файлов Windows. Файлы, нужные для правильной работы
Windows, были заменены неизвестными версиями. Для обеспечения стабильной работы системы Windows необходимо восстановить оригинальные версии этих файлов. Вставьте компакт-диск продукт.

Защита файлов Windows. Файлы, нужные для правильной работы
Windows, были заменены неизвестными версиями. Для обеспечения стабильной работы системы Windows необходимо восстановить оригинальные версии этих файлов. Сетевая папка, из которой необходимо скопировать эти файлы, \\сервер\общий_ресурс, недоступна. Обратитесь к системному администратору или вставьте компакт-диск продукт.
ОС Linux изначально была задумана как система с поддержкой работы в сети, в отличие от ОС Windows, которая проектировалась всего лишь как графическая оболочка для рабочей станции. Более того, Linux считается скорее серверной операционной системой, чем системой для рабочих станций.
Основное требование к серверу сети - стабильность и надежность в работе.
Одним из популярных типов атак на сервер сети является атака типа DDoS
(Distributed Denial of Service). При классической DDoS-атаке сервер подвергается многочисленным некорректным запросам на соединение и их обработка занимает все процессорное время или пропускную способность канала. Защита от атак подобного рода осуществляется при помощи правильно настроенного межсетевого экрана, иначе firewall'а. Для Linux существует множество программных решений межсетевых экранов, например iptables или ipchains, которые занимаются обработкой проходящего через сервер сетевого трафика и осуществляют фильтрацию паразитного мусорного трафика,

29 характерного, например, для DDoS-атаки. Подобные программы под Linux позволяют гибко настроить правила обработки, основываясь на следующих параметрах:

IP-адрес источника пакета.

IP-адрес назначения пакета.

Интерфейс, который принял пакет.

Протокол, по которому осуществляется передача пакета.

Порт назначения пакета.
Основываясь на данных анализа проходящего пакета, межсетевой экран может произвести над ним некоторый набор действий:

Пропустить пакет.

Подсчитать размер пакета.

Изменить значения полей пакета IP-адресов, портов, ttl.

Уничтожить без обработки.
Межсетевые экраны под Linux часто используются не только как средство обеспечения безопасности, их широкие возможности по управлению трафиком позволяют организовать с их помощью системы подсчета трафика, сбора статистики, распределения трафика, организовать виртуальные подсети с выходом в Интернет с одного IP-адреса и многое другое.
Неплохой принцип, которым стоит руководствоваться при настройке межсетевого экрана на сервере Linux, - запрещено все, что явно не разрешено.
В начале выбираются диапазоны IP-адресов сети, затем интерфейсы сервера, через которые будет проходить обрабатываемый трафик, потом параметры пропускаемого трафика (тип пакетов, порты, размер, значение ttl). Затем выбранный тип трафика явно разрешается, снабжается ограничениями, а остальные пакеты явно запрещаются.
Основное отличие межсетевых экранов в Linux от подобных программ под Windows, часто называющихся персональными межсетевыми экранами, - в логике, по которой обрабатывается сетевой трафик. Межсетевые экраны для
Windows чаще всего управляют сетевой активностью приложений и осуществляют обработку трафика по критерию доверенности приложения, которое пытается получить доступ к сети. Доверенность приложения нередко вычисляется изощренными методами, включая глубокий контроль компонентов и подгружаемых библиотек. Подобный метод эффективен для предотвращения атак изнутри, например вирусной активности или деятельности троянских программ. Конечно, и под платформу Windows

30 существуют межсетевые экраны, действующие по принципам, аналогичным iptables, но это довольно дорогие программные решения.
Защита ОС семейства Unix в общем случае базируется на трех основных механизмах:
 идентификации и аутентификация пользователя при входе в систему;
 разграничении прав доступа к файловой системе, в основе которого лежит реализация дискреционной модели доступа;
 аудит, т.е. регистрация событий.
Для различных клонов ОС семейства Unix возможности механизмов защиты могут незначительно различаться, однако будем рассматривать ОС
Unix в общем случае, без учета некоторых незначительных особенностей отдельных ОС этого семейства.
Построение файловой системы и разграничение доступа к файловым объектам имеет особенности, присущие данному семейству ОС. Все дисковые накопители (тома) объединяются в единую виртуальную файловую систему путем операции монтирования тома. При этом содержимое тома проецируется на выбранный каталог файловой системы. Элементами файловой системы являются также все устройства, подключаемые к защищаемому компьютеру
(монтируемые к файловой системе). Поэтому разграничение доступа к ним осуществляется через файловою систему.
Каждый файловый объект имеет индексный дескриптор (структура данных, содержащая определенную важную информацию о процессе, в том числе: текущее состояние процесса, уникальный идентификатор процесса, приоритет процесса и т.п.), в котором среди прочего хранится информация о разграничении доступа к данному файловому объекту. Права доступа делятся на три категории: доступ для владельца, доступ для группы и доступ для остальных пользователей. В каждой категории определяются права на чтение, запись и исполнение (в случае каталога – просмотр).
Пользователь имеет уникальные символьный идентификатор (имя) и числовой идентификатор (UID). Символьный идентификатор предъявляется пользователем при входе в систему, числовой используется операционной системой для определения прав пользователя в системе (доступ к файлам и т.д.).

31
Тема 2.6.1 Классификация компьютерных вирусов
Компьютерным вирусом называется программа, которая обладает способностью создавать свои копии, и внедрять их в различные объекты и ресурсы компьютерных систем, сетей и т.д. без ведома пользователя. При этом копии сохраняют способность дальнейшего распространения.
Заражение программы, как правило, выполняется таким образом, чтобы вирус получил управление раньше самой программы. Для этого он либо встраивается в начало программы, либо имплантируется в ее тело так, что первой командой зараженной программы является безусловный переход на компьютерный вирус, текст которого заканчивается аналогичной командой безусловного перехода на команду вирусоносителя, бывшую первой до заражения. Получив управление, вирус выбирает следующий файл, заражает его, возможно, выполняет какие-либо другие действия, после чего отдает управление вирусоносителю.
Первичное заражение происходит в процессе наступления инфицированных программ из памяти одной машины в память другой, причем в качестве средства перемещения этих программ могут использоваться как носители информации (оптические диски, флэш-память и т.п.), так и каналы вычислительных сетей. Вирусы, использующие для размножения сетевые средства, сетевые протоколы, управляющие команды компьютерных сетей и электронной почты, принято называть сетевыми.
Цикл жизни вируса обычно включает следующие периоды: внедрение, инкубационный, репликации (саморазмножения) и проявления. В течение инкубационного периода вирус пассивен, что усложняет задачу его поиска и нейтрализации. На этапе проявления вирус выполняет свойственные ему целевые функции, например необратимую коррекцию информации в компьютере или на внешних носителях.
Физическая структура компьютерного вируса достаточно проста. Он состоит из головы и, возможно, хвоста. Под головой вируса понимается его компонента, получающая управление первой. Хвост – это часть вируса, расположенная в тексте зараженной программы отдельно от головы. Вирусы, состоящие из одной головы, называют несегментированными, тогда как вирусы, содержащие голову и хвост, – сегментированными.
Наиболее существенные признаки компьютерных вирусов позволяют провести следующую их классификацию.

32
Существует несколько подходов к классификации компьютерных вирусов по их характерным особенностям:
 по среде обитания вируса;
 по способу заражения;
 по деструктивным возможностям;
 по особенностям алгоритма работ.
По среде обитания вирусы подразделяются на:

Файловые вирусы – вирусы поражающие исполняемые файлы, написанные в различных форматах. Соответственно в зависимости от формата, в котором написана программа это будут EXE или COM вирусы.

Загрузочные вирусы – вирусы поражающие загрузочные сектора
(Boot сектора) дисков или сектор содержащий системный загрузчик(Master Boot Record) винчестера.

Сетевые вирусы – вирусы, распространяющиеся в различных компьютерных сетях и системах.

Макро вирусы – вирусы поражающие файлы Microsoft Office

Flash вирусы – вирусы поражающие микросхемы FLASH памяти
BIOS.
По способу заражения вирусы делятся на:

Резидентные вирусы – вирусы, которые при инфицировании компьютера оставляют свою резидентную часть в памяти. Они могут перехватывать прерывания операционной системы, а также обращения к инфицированным файлам со стороны программ и операционной системы. Эти вирусы могут оставаться активными вплоть до выключения или перезагрузки компьютера.

Нерезидентные вирусы – вирусы, не оставляющие своих резидентных частей в оперативной памяти компьютера. Некоторые вирусы оставляют в памяти некоторые свои фрагменты не способные к дальнейшему размножению такие вирусы считаются не резидентными.

По деструктивным возможностям вирусы подразделяются на:

Безвредные вирусы – это вирусы ни как не влияющие на работу компьютера за исключение, быть может, уменьшения свободного места на диске и объема оперативной памяти.

33

Неопасные вирусы – вирусы, которые проявляют себя в выводе различных графических, звуковых эффектов и прочих безвредных действий.

Опасные вирусы – это вирусы, которые могут привести к различным сбоям в работе компьютеров, а также их систем и сетей.

Очень опасные вирусы – это вирусы, приводящие к потере, уничтожению информации, потере работоспособности программ и системы в целом.
По особенностям алгоритма работы вирусы можно подразделить на:

Вирусы спутники(companion) – эти вирусы поражают EXE-файлы путем создания COM-файла двойника, и поэтому при запуске программы запустится, сначала COM-файл с вирусом, после выполнения своей работы вирус запустит EXE-файл. При таком способе заражения «инфицированная» программа не изменяется.

Вирусы «черви» (Worms) – вирусы, которые распространяются в компьютерных сетях. Они проникают в память компьютера из компьютерной сети, вычисляют адреса других компьютеров и пересылают на эти адреса свои копии. Иногда они оставляют временные файлы на компьютере но некоторые могут и не затрагивать ресурсы компьютера за исключением оперативной памяти и разумеется процессора.

«Паразитические» – все вирусы, которые модифицируют содержимое файлов или секторов на диске. К этой категории относятся все вирусы не являются вирусами-спутниками и вирусами червями.

«Стелс-вирусы» (вирусы-невидимки, stealth) – представляющие собой весьма совершенные программы, которые перехватывают обращения
DOS к пораженным файлам или секторам дисков подставляют вместо себя незараженные участки информации. Кроме этого, такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие «обманывать» резидентные антивирусные мониторы.

«Полиморфные»
(самошифрующиеся или вирусы-призраки, polymorphic) – вирусы, достаточно трудно обнаруживаемые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфного вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.

«Макро-вирусы» – вирусы этого семейства используют возможности макроязыков, встроенных в системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). В настоящее время наиболее

34 распространены макро-вирусы, заражающие текстовые документы редактора Microsoft Word.
По режиму функционирования можно подразделить на:
 резидентные вирусы (вирусы, которые после активизации постоянно находятся в оперативной памяти компьютера и контролируют доступ к его ресурсам);
 транзитные вирусы (вирусы, которые выполняются только в момент запуска зараженной программы).

По объекту внедрения:
 файловые вирусы (вирусы, заражающие файлы с программами);
 загрузочные вирусы (вирусы, заражающие программы, хранящиеся в системных областях дисков).
В свою очередь, файловые вирусы подразделяются на вирусы, заражающие:
 исполняемые файлы;
 командные файлы и файлы конфигурации;
 составляемые на макроязыках программирования, или файлы, содержащие макросы (макровирусы – разновидность компьютерных вирусов разработанных на макроязыках, встроенных в такие прикладные пакеты ПО, как Microsoft Office );
 файлы с драйверами устройств;
 файлы с библиотеками исходных, объектных, загрузочных и оверлейных модулей, библиотеками динамической компоновки и т.п.
Загрузочные вирусы подразделяются на вирусы, заражающие:
 системный загрузчик, расположенный в загрузочном секторе и логических дисков;
 внесистемный загрузчик, расположенный в загрузочном секторе жестких дисков.
По степени и способу маскировки:
 вирусы, не использующие средств маскировки;
 stealth-вирусы (вирусы, пытающиеся быть невидимыми на основе контроля доступа к зараженным элементам данных);

35
 вирусы-мутанты (MtE-вирусы, содержащие в себе алгоритмы шифрования, обеспечивающие различие разных копий вируса).
В свою очередь, MtE-вирусы делятся:
 на обычные вирусы-мутанты, в разных копиях которых различаются только зашифрованные тела, а дешифрованные тела вирусов совпадают;
 полиморфные вирусы, в разных копиях которых различаются не только зашифрованные тела, но и их дешифрованные тела.
Наиболее распространенные типы вирусов характеризуются следующими основными особенностями.
Файловый транзитный вирус целиком размещается в исполняемом файле, в связи, с чем он активизируется только в случае активизации вирусоносителя, а по выполнении необходимых действий возвращает управление самой программе. При этом выбор очередного файла для заражения осуществляется вирусом посредством поиска по каталогу.
Файловый резидентный вирус отличается от нерезидентного логической структурой и общим алгоритмом функционирования.
Резидентный вирус состоит из так называемого инсталлятора и программ обработки прерываний. Инсталлятор получает управление при активизации вирусоносителя и инфицирует оперативную память путем размещения в ней управляющей части вируса и замены адресов в элементах вектора прерываний на адреса своих программ, обрабатывающих эти прерывания. На так называемой фазе слежения, следующей за описанной фазой инсталляции, при возникновении какого-либо прерывания управление получает соответствующая подпрограмма вируса. В связи с существенно более универсальной по сравнению с нерезидентными вирусами общей схемой функционирования резидентные вирусы могут реализовывать самые разные способы инфицирования.
Stealth-вирусы пользуются слабой защищенностью некоторых операционных систем и заменяют некоторые их компоненты (драйверы дисков, прерывания) таким образом, что вирус становится невидимым
(прозрачным) для других программ.
Полиморфные вирусы содержат алгоритм порождения дешифрованных тел вирусов, непохожих друг на друга. При этом в алгоритмах дешифрования могут встречаться обращения практически ко всем командам