Литература Информатика в экономике: Учебное пособие

Вид материала

Литература

Содержание Экран осуществляет отображение пространства внутренних адресов Классификация и характеристика наиболее распространенных компьютерных вирусов Если вирус Средства и приемы обеспечения защиты информации от компьютерных вирусов Сканеры подразделяют на резидентные и нерезидентные Во втором

Подобный материал:

• Решение экономических задач компьютерными средствами > Информатика в экономике: Учебное, 721.96kb.
• Темы для индивидуальной самостоятельной работы (подготовка письменных докладов и устных, 73.5kb.
• Учебное пособие для студентов специальностей «Прикладная информатика в экономике» и«Менеджмент, 1982.74kb.
• Учебное пособие Издательство спбгпу санкт-Петербург, 1380.47kb.
• Учебное пособие Ростов-на-Дону 2003 Печатается по решению кафедры экономической информатики, 494.94kb.
• Учебное пособие для студентов, обучающихся по специальности, 527.56kb.
• Учебное пособие для студентов среднего профессионального образования специальности, 2287.59kb.
• Учебное пособие для студентов среднего профессионального образования специальности, 1314.08kb.
• Учебное пособие Хабаровск 2005 ббк, 2077.75kb.
• Учебное пособие Рекомендовано учебно-методическим советом угаэс уфа-2006, 1339.31kb.

Внутренний экран «маскирует» компьютеры ЛВС, используя механизм трансляции сетевых адресов. В ЛВС используются локальные IP- адреса, которые не могут применяться в глобальной сети Интернет. Эти адреса специально зарезервированы для локальных сетей.

Экран осуществляет отображение пространства внутренних адресов на несколько реальных, имеющихся в распоряжении предприятия. Инициатором межсетевого обмена может выступать только компьютер ЛВС. Произвольный доступ из Интернет к любому компьютеру ЛВС невозможен. Дополнительно в межсетевом экране могут быть установлены правила, регулирующие права пользователей ЛВС на выход в Интернет.

12. Классификация и характеристика наиболее распространенных компьютерных вирусов
    

А. Первыми появились вирусы, поражающие программные файлы СОМ и ЕХЕ. При запуске зараженной программы управление получает программный код вируса, он сканирует диски компьютера (локальные и сетевые) в поисках «здоровых» программных файлов и модифицирует их.

Модификация заключается в том, что вирус дописывает свой программный код в «тело» программы и изменяет заголовок программного файла, так чтобы при запуске программы управление передавалось вирусу.

Проявление вируса (активизация разрушительных действий) происходит при наступлении некоторого события. Таким событием может быть определенная дата, например «пятница 13-е число», количество зараженных файлов, «процент зараженности» диска и т.д.

Компьютер не может быть заражен, пока не будет запущена какая-либо зараженная программа. Антивирусные программы достаточно легко справляются с такими вирусами.

Б. Загрузочные вирусы. Такое название обусловлено тем, что вирусы хранят себя в загрузочных областях магнитных дисков и получают управление в момент загрузки операционной системы компьютера. В процессе загрузки задействовано три программы, которые служат объектом нападения загрузочных вирусов:

• главная загрузочная запись;
  
• загрузочная запись на логическом диске;
  
• загрузочная запись на дискете.
  

Вирусы могут заменять некоторые или все перечисленные выше объекты, встраивая в них свое тело и сохраняя содержимое оригинального загрузочного сектора в каком-либо месте на диске компьютера. В результате при включении компьютера программа загрузки, расположенная в BIOS, загружает в память вирусный код и передает ему управление. Дальнейшая загрузка операционной системы происходит под контролем вируса.

Вирус находится в оперативной памяти компьютера и заражает все дискеты, вставляемые в дисковод. Заражение компьютера происходит в том случае, когда дискета случайно забыта в дисководе и выполняется загрузка компьютера. Опасность таких вирусов в том, что они, получая управление, могут разместить себя в любом месте оперативной памяти, подменив вызов системных программ, выполняющих операции чтения/записи с магнитного диска. Более того, такой вирус может дезактивировать известные антивирусные программы, если они находятся на жестком диске.

Существуют вирусы, использующие комбинированный способ, т.е. они могут находиться и в загрузочном секторе и в исполняемых файлах. Такими вирусами легче заразиться и труднее вылечиться. Основной способ обнаружения вирусов антивирусными программами – просмотр содержимого файла на наличие характерных для того или иного вируса последовательностей байтов, называемых сигнатурами.

В. Шифрующиеся вирусы. Используют алгоритмы шифрования, затрудняющие их обнаружение и выделение сигнатуры. При заражении новых файлов и системных областей диска шифруют собственный код, пользуясь для этого случайными паролями (ключами). Когда вирус получает управление, он первым делом расшифровывает собственный код.

Сложность обнаружения таких вирусов состоит в том, что код вируса случайным образом изменяется при каждом новом заражении и, соответственно, антивирусу сложнее выделить сигнатуру такого вируса. Однако так как шифрующийся вирус все же должен содержать неизменную процедуру расшифровки, то сигнатуру получить можно. Даже простые антивирусные программы способны успешно обнаруживать и удалять вирусы, применяющие алгоритм шифровки.

Г. Мутанты (полиморфные вирусы). От шифрующихся вирусов они отличаются тем, что процедура шифровки меняется у разных особей одного вируса. Каждый раз, когда вирус заражает новый файл или системную область диска, он полностью изменяется: зашифровывает себя, используя различные ключи и алгоритмы шифрования. Тем не менее, вирус остается тем же самым и его можно идентифицировать.

Представителем этой группы является вирус OneHalf - «Половина». Проникая в компьютер, вирус заражает системные области диска и некоторые программные файлы.

Во время каждого включения компьютера вирус постепенно шифрует информацию на жестком диске. Когда вирус зашифрует половину диска, он выводит на экран надпись: Disk is one half. Press any key to continue...

После этого вирус ждет, когда пользователь нажмет на какую-либо клавишу, и продолжает свою работу. Если вирус OneHalf находится в памяти, он контролирует все обращения к зашифрованным областям диска и по мере надобности их расшифровывает. Поэтому все программное обеспечение компьютера работает нормально.

Если вирус OneHalf просто удалить из компьютера, то станет невозможно правильно прочитать информацию, записанную в зашифрованных областях диска.

Д. Стелс – вирусы. В ходе проверки компьютера антивирусные программы считывают данные - файлы и системные области с жестких дисков и дискет, пользуясь средствами операционной системы и базовой системы ввода/вывода BIOS. Ряд вирусов, после запуска оставляют в оперативной памяти компьютера специальные модули, перехватывающие обращение программ к дисковой подсистеме компьютера. Если такой модуль обнаруживает, что программа пытается прочитать зараженный файл или системную область диска, он на ходу подменяет читаемые данные, как будто вируса на диске нет.

Е. Макрокомандные вирусы. До сих пор речь шла о вирусах, поражающих программные файлы. Распространяются с документами офисных приложений, таких как Microsoft Word или Microsoft Excel. Документы офисных приложений содержат в себе не только текст и графические изображения, но и макрокоманды, которые представляют собой программы, составленные на языке Visual Basic. Вирус может изменять существующие макрокоманды и добавлять новые, внедряя свое тело в файл документа. Механизм распространения макрокомандных вирусов основан на том, что существуют макрокоманды, которые запускаются при открытии документа для редактирования или при выполнении других операций. Когда вы открываете файл при помощи текстового процессора Microsoft Word, макрокоманда будет автоматически запущена на выполнение. При этом вирус получит управление и может заразить другие документы, хранящиеся на ваших дисках

Ж. Черви. Существуют вирусы, которые могут распространяться через электронную почту без использования приложений, так называемые - черви. Для заражения машины не требуется запускать какой-либо приложенный файл, достаточно лишь просмотреть письмо. В его html-коде содержится скрипт, автоматически запускающийся в скрытом окне Internet Explorer и инициирующий загрузку с хакерского сайта документа Word с макровирусом, который пытается отключить антивирусную защиту. После этого червь рассылает письмо-ловушку по всем записям, находящимся в адресной книге на зараженном.

З. Трояны. Например, Для рассылки писем со своих компьютеров используется вредоносное ПО - трояны. В качестве примера приведем схему работы спам-бота. Спам-бот – это троянская программа, осуществляющая рассылку спама с зараженного компьютера. Для распространения спам-ботов применяются почтовые и сетевые черви. После установки спам-бот устанавливает соединение с одним из ему известных серверов, принадлежащих спамеру, и получает информацию об адресах серверов, с которых он должен запрашивать данные для рассылки. Далее он связывается с этими серверами, получает е-mail адреса и шаблоны для писем и производит рассылку.

Программы-вирусы троянцы (трояны), представляющие в настоящее время представляют главную угрозу и занимающие лидирующее положение среди вредоносного ПО.

Название троян (троянский конь) возникло из-за того, что вначале вредоносный код маскировался в некоторой полезной или интересной программе, которую пользователь по доброй воле устанавливал на компьютер.

Троян незаметно для пользователя (под «прикрытием» полезной программы или будучи внедренным в операционную систему) выполняет ряд недокументированных действий. Это может быть:

перехват паролей, вводимых в с клавиатуры компьютера;

поиск в компьютере пользователя конфиденциальных данных (паролей, номеров банковских карт и т.п.) и отсылка их по установленному адресу;

модификация текста программы, реализующей функции безопасности, для последующего беспрепятственного входа в систему;

изменение или уничтожение пользовательских данных;

повреждение системных программ.

Трояны активно используются хакерами для «вскрытия» компьютерных сетей или отдельных компьютеров. Троянцы распространяются и по электронной почте, также их можно загрузить на рабочий компьютер с какого-нибудь сайта, просматривая интересные страницы.

И. Хакерское программное обеспечение. Отдельным видом вредоносного ПО является хакерское программное обеспечение, которое используется как инструмент для взлома и хищения конфиденциальных данных.

Существуют инструменты для сбора данных о потенциальных жертвах и поиска уязвимостей в компьютерных сетях.

Сюда относятся программы для сканирования сети с целью определения IP-адресов компьютеров и «открытых» портов.

Программы «прослушивания» сетевого трафика (sniffer) незаметно перехватывают IP-пакеты в сети и анализируют их на предмет определения адресов отправителей и получателей и может быть выявления секретных данных типа имен и паролей, передаваемых в открытом виде.

Формат почтовых сообщений является открытым и, следовательно, электронное письмо может быть легко прочитано. Есть инструменты, предназначенные для взлома компьютеров и сетей. Сюда относятся программы подбора паролей, фальсификации IP-пакетов путем подмены адреса отправителя/получателя.

Злоумышленники умело используют приемы социальной инженерии в комплексе с вредоносным ПО. Так получатели электронной почты провоцируются на открытие зараженных писем.

В качестве примера можно привести вирус, который распространялся в электронных письмах с темой “I LOVE YOU”. Заражение происходит при открытии письма и не требует никаких дополнительных действий пользователя.

Метод фишинга используется для того, чтобы «выудить» у пользователя сведения для доступа к каким-либо ресурсам.

Например, можно получить письмо, адрес отправителя в котором очень похож на адрес провайдера услуг Интернет, содержащее просьбу администратора подтвердить login и пароль.

Серьезную угрозу фишинг представляет для клиентов интернет-банков. Злоумышленник посылает письмо с подделанным обратным адресом, т.е. внешне письмо выглядит как посланное из банка. В письме сообщается, что требуется сменить пароль и указан адрес сайта, на котором необходимо выполнить это действие. Перейдя по этой ссылке клиент попадает на сайт, внешне не отличающийся от настоящего, и благополучно раскрывает свои персональные данные.

13. Средства и приемы обеспечения защиты информации от компьютерных вирусов
    

Главным средством борьбы с вирусами являются антивирусные программы, которые не только обнаруживают вирусы, но и удаляют их из компьютера. Существует несколько видов антивирусных программ:

сканеры,

CRC-сканеры,

блокировщики,

иммунизаторы.

Антивирусные сканеры проверяют файлы, загрузочные сектора дисков, оперативную память на предмет поиска вирусов. Вирусы ищутся по их сигнатурам (маскам).

Если вирус использует алгоритмы шифрования, то поиск по маскам не даст результатов. В этом случае антивирус проводит анализ на наличие типичных последовательностей машинных команд, которые могут использоваться при заражении вирусом.

Сканеры подразделяют на резидентные и нерезидентные. Резидентные сканеры (мониторы), постоянно находятся в оперативной памяти компьютера и немедленно реагируют на появление вируса. Нерезидентные сканеры запускаются по запросу пользователя. Сканеры сопровождаются специальными файлами - антивирусными базами данных, содержащими маски вирусов, и имеют невысокую скорость поиска вирусов.

CRC-сканеры используют другой принцип работы. Для каждого файла они рассчитывают контрольные суммы (CRC-суммы) и сохраняют их на диске вместе с другой информацией о файлах в своей базе данных.

Работа CRC-сканера заключается в проверке вновь рассчитанных CRC-сумм, с ранее записанными в базу данных. Несовпадение означает, что файл был изменен или заражен вирусом. Понятно, что CRC-сканер не может предотвратить появление вируса в компьютере, и более того может обнаружить вирус только после заражения некоторого числа файлов.

CRC-сканер не может определить наличие вирусов в новых файлах, записываемых на диск компьютера, т.к. о них нет информации в базе данных. Некоторые вирусы "пользуются" этим и заражают только вновь создаваемые файлы.

Антивирусные блокировщики - это резидентные программы, контролирующие потенциально-опасные операции: открытие выполняемых файлов для записи, запись в boot - сектор, попытка программы остаться в оперативной памяти после завершения работы и т.п. О каждой такой операции блокировщик сообщает пользователю и требует от него принятия решения. Со временем это становится для пользователя утомительным, тем более он не всегда понимает, чем вызвано сообщение блокировщика.

Антивирусные иммунизаторы пытаются предотвратить заражение и используют два подхода.

В первом иммунизатор подобно вирусу записывает себя в конец файлов и при запуске файла проверяет, не были ли внесены в защищаемый файл изменения.

Во втором подходе используется принцип мимикрии, т.е. иммунизатор модифицирует файлы на дисках так, что вирусы принимают их за зараженные и "обходят" стороной.

Антивирусных программ существует множество: Dr.Web, AVP, McAfee Virus Scan, Norton

Универсальных правил защиты от компьютерных вирусов не существует, однако известны некоторые правила, выполнение которых позволяет снизить угрозу заражения:

• необходимо регулярно обновлять антивирусную базу данных программ, т.к. устаревшая база не имеет противоядия против новых вирусов;
  
• всегда проверять сменные магнитные носители информации;
  
• все программы и документы, полученные из сети, должны быть проверены на наличие вируса;
  
• не разрешать доступ к жесткому диску компьютера из локальной сети с правом записи;
  
• следует приобретать дистрибутивные копии ПО у официальных продавцов;
  
• периодически сохранять на внешнем носителе файлы, имеющие ценность.
  

Перед "лечением" компьютера полезно создать резервные копии важных файлов, т.к. лечение может быть неудачным, и информация будет потеряна. Наличие копий позволит провести "лечение" другим антивирусом, имеющим лучший алгоритм удаления вируса. Проверить все дискеты, которые использовались на зараженном компьютере и электронную почту. Проверить архивные файлы ZIP, ARJ и др.