Интересный метод борьбы с внедрением программных закладок может быть использован в информационной банковской системе, в которой циркулируют исключительно файлы-документы. Чтобы не допустить проникновения программной закладки через каналы связи, в этой системе не допускается прием никакого исполняемого кода. Для распознавания событий типа “ПОЛУЧЕН ИСПОЛНЯЕМЫЙ КОД” и “ПОЛУЧЕН ФАЙЛ-ДОКУМЕНТ” применяется контроль за наличием в файле запрещенных символов: файл признается содержащим исполняемый код, если в нем присутствуют символы, которые никогда не встречаются в файлах-документах.
Выявление внедренного кода программной закладки заключается в обнаружении признаков его присутствия в компьютерной системе. Эти признаки можно разделить на следующие два класса:
· качественные и визуальные;
· обнаруживаемые средствами тестирования и диагностики.
К качественным и визуальным признакам относятся ощущения и наблюдения пользователя компьютерной системы, который отмечает определенные отклонения в ее работе (изменяется состав и длины файлов, старые файлы куда-то пропадают, а вместо них появляются новые, программы начинают работать медленнее, или заканчивают свою работу слишком быстро, или вообще перестают запускаться). Несмотря на то что суждение о наличии признаков этого класса кажется слишком субъективным, тем не менее, они часто свидетельствуют о наличии неполадок в компьютерной системе и, в частности, о необходимости проведения дополнительных проверок присутствия программных закладок. Например, пользователи пакета шифрования и цифровой подписи “Криптоцентр” с некоторых пор стали замечать, что цифровая подпись под электронными документами ставится слишком быстро. Исследование, проведенное специалистами Федерального агентства правительственной связи и информации, показало присутствие программной закладки, работа которой основывалась на навязывании длины файла. В другом случае тревогу забили пользователи пакета шифрования и цифровой подписи “Криптон”, которые с удивлением отметили, что скорость шифрования по криптографическому алгоритму ГОСТ 28147-89 вдруг возросла в 30 раз. А в третьем случае программная закладка обнаружила свое присутствие в программе клавиатурного ввода тем, что пораженная ею программа перестала нормально работать.
Признаки, выявляемые с помощью средств тестирования и диагностики, характерны как для программных закладок, так и для компьютерных вирусов. Например, загрузочные закладки успешно обнаруживаются антивирусными программами, которые сигнализируют о наличии подозрительного кода в загрузочном секторе диска. С инициированием статической ошибки на дисках хорошо справляется Disk Doctor, входящий в распространенный комплект утилит Norton Utilities. А средства проверки целостности данных на диске типа Adinf позволяют успешно выявлять изменения, вносимые в файлы программными закладками. Кроме того, эффективен поиск фрагментов кода программных закладок по характерным для них последовательностям нулей и единиц (сигнатурам), а также разрешение выполнения только программ с известными сигнатурами.
Конкретный способ удаления внедренной программной закладки зависит от метода ее внедрения в компьютерную систему. Если это программно-аппаратная закладка, то следует перепрограммировать ПЗУ компьютера. Если это загрузочная, драйверная, прикладная, замаскированная закладка или закладка-имитатор, то можно заменить их на соответствующую загрузочную запись, драйвер, утилиту, прикладную или служебную программу, полученную от источника, заслуживающего доверия. Наконец, если это исполняемый программный модуль, то можно попытаться добыть его исходный текст, убрать из него имеющиеся закладки или подозрительные фрагменты, а затем заново откомпилировать.
Проблема защиты от несанкционированного доступа к информации посвящено огромное количество методических, академических и правовых исследований. Отличительной особенностью хищения информации стала скрытность этого процесса, в результате чего жертва может не догадываться о происшедшем.
Для обеспечения безопасности своих документов и предохранения самого компьютера от закладки достаточно соблюдать ряд правил и мер предосторожности, однако много компьютеров оказываются зараженными из-за элементарной неосведомленности пользователя.
Программные закладки способны уничтожать или искажать информацию, нарушать сеансы работы. Пользователь получает их, как правило, по системе электронной почты под видом важного документа или давно разыскиваемой программы. Закладки могут нанести немалый ущерб компании. Они собирают информацию, которая отправляется злоумышленнику по системе электронной почты для анализа на предмет содержания ценной информации, такой как пароли или пользовательская информация. Таким образом, злоумышленник, может получать важную или, даже конфиденциальную информацию, не выходя из дома, а компания или фирма будет нести немалые убытки, необходимо понимать и то, что злоумышленником может быть и конкурирующая фирма, которая может преднамеренно отправить вам по электронной почте закладку с целью завладеть информацией.
Также закладки могут распространяться по сети Интернет, по локальной сети. Они нацелены на проникновение в системы разграничения доступа пользователей к ресурсам сети, могут приводить к утере полномочий пользователей, к нарушению работы сети в целом и системы разграничения доступа в частности. Самым распространенным способом внедрения закладки является внедрение с помощью сети Интернет. И даже если на предприятии есть только один компьютер, подключенный к сети, но при этом существует локально – вычислительная сеть, возможна вероятность проникновения программной закладки на компьютер, содержащий ценную информацию.
Защитить информацию может только сам пользователь или владелец. Для этого нужно правильно организовать работу и ограничить доступ к ценной информации. И принять все меры для предотвращения ее утечки.
Число уязвимостей и использующих их атак растет с каждым годом. Злоумышленники постоянно ищут новые способы проникновения в информационные системы, и пользователи должны понимать, что недооценка способностей злоумышленников может привести к очень печальным последствиям.
1. Папарацци смотрит за тобой
http://www.i2r.ru/news.shtml?count=30&id=7888&begin=8490
2. Разpушающие пpогpаммные воздействия
http://sp.sz.ru/rps_.html
3. В.Сидоров «Какими закладками пугает нас Алкснис, или Правда ли, что все «виндовозы» под колпаком не только Microsoft, но и ЦРУ, и Пентагона?»
http://netler.ru/pc/bookmark.htm
4. А. Марков, С. Миронов, В. Цирлов «Выявление уязвимостей в программном коде»
http://www.osp.ru/text/print/302/380655.html
5. Каторин Ю. Ф., Куренков Е. В., Лысов А. В., Остапенко А. Н. «Большая энциклопедия промышленного шпионажа». — СПб.: 000 «Издательство Полигон», 2000. — 896 с.
6. В. Проскурин «Программные закладки в защищенных системах»
http://www.crime-research.ru/library/progwir98.htm
7. Анин Б. Ю. «Защита компьютерной информации». - СПб.: БХВ-Петербург, 2000. - 384 с.
8. День рождения BackOrifice
http://www.securitylab.ru/informer/240719.php
9. А. Захарченко «Из грязи - в штази», журнал "Компьютерра" №36 от 25 сентября 2001 г.
http://www.computerra.ru/offline/2001/413/12815/
10. Д.В. Кудин «Осторожно: D.I.R.T. на свободе!»
http://www.bezpeka.com/ru/lib/sec/art368
11. Поярков И. «Что такое NetBus и как им пользоваться»
http://security.h12.ru/docs/sec-soft/chto_takoe_netbus_i_kak_im_polzovatsya.htm
12. Казарин О.В. «Безопасность программного обеспечения компьютерных систем». – М.: МГУЛ, 2003. - 212 с.
13. Проскурин В.Г. «Перехватчики паролей пользователей операционных систем»
http://www.warning.dp.ua/comp5.htm
14. Угрозы информационной безопасности в автоматизированных системах
http://asher.ru/security/book/its/05
15. «Троянские программы», программные закладки и сетевые черви
http://www.volandpc.ru/istoriya/istoriya-vozniknoveniya-komp-uternyh-virusov/troyanskie-programmy-programmnye-zakladki-i-setevye-chervi.html
16. Cредства нарушения безопасности компьютерных сетей
http://info-safety.ru/category/programmno-texnicheskie-mery/
17. Казарин О.В. «Теория и практика защиты программ». – М.: МГУЛ, 2004. – 450 с.
18. Романец Ю., Тимофеев П., Шаньгин В. «Защита информации в компьютерных системах и сетях». – М.: Радио и связь, 2001 – 376 с.
19. Соколов А., Степанюк О. «Защита от компьютерного терроризма». – СПб.: БХВ-Петербург, Арлит, 2002. – 496с.
20. Антивирус Касперского 6.0. Руководство пользователя
http://docs.kaspersky-labs.com/russian/kav6.0ru.pdf
21. Модель действий вероятного нарушителя и модель построения защиты
http://www.m-g.ru/about/articles/106.html
22. Атаки с использованием злонамеренного кода (malicious code)
http://big-bro.info/ataki-s-ispolzovaniem-zlonamerennogo-koda-malisious-code/
23. Вирусы и борьба с ними
http://ait.ustu.ru/disciplines/SysSoft/EduCompl/%D0%9B%D0%B5%D0%BA%D1%86%D0%B8%D0%B8/10.%D0%92%D0%B8%D1%80%D1%83%D1%81%D1%8B%20%D0%B8%20%D0%B1%D0%BE%D1%80%D1%8C%D0%B1%D0%B0%20%D1%81%20%D0%BD%D0%B8%D0%BC%D0%B8.htm
24. Угрозы и риски информационной безопасности
http://www.it-world.ru/upload/iblock/8d1/67518.pdf