- •Безопасность
- •Аппаратное обеспечение
- •Программное обеспечение
- •Линии связи и сети
- •15.2. Защита
- •Защита памяти
- •Контроль доступа, ориентированный на пользователя
- •Контроль доступа, ориентированный на данные
- •15.3. Взломщики
- •Методы вторжения
- •Защита паролей
- •Уязвимость паролей
- •Контроль доступа
- •Стратегии выбора паролей
- •Выявление вторжений
- •15.4. Зловредное программное обеспечение
- •Зловредные программы
- •Логические бомбы
- •Троянские кони
- •Природа вирусов
- •Виды вирусов
- •Макровирусы
- •Подходы к борьбе с вирусами
- •Обобщенное дешифрование
- •Цифровая иммунная система
- •15.5. Системы с доверительными отношениями
- •Защита от троянских коней
- •15.6. Безопасность операционной системы windows 2000
- •15.7. Резюме, ключевые термины и контрольные вопросы
- •Контрольные вопросы
- •15.8. Рекомендуемая литература
- •Приложение. Шифрование
- •Стандартное шифрование
- •Стандарт шифрования данных
- •Тройной алгоритм шифрования данных
- •Улучшенный стандарт шифрования
- •Шифрование с открытым ключом
- •А.2. Архитектура протоколов tcp/ip
- •Уровни протокола tcp/ip
- •Приложения tcp/ip
- •Б.1. Мотивация
- •Б.З. Преимущества объектно-ориентированного подхода
- •Б.2. Объектно-ориентированные концепции
- •Структура объектов
- •Классы объектов
- •Наследование
- •Полиморфизм
- •Включение
- •Список литературы
Цифровая иммунная система
Цифровая иммунная система представляет собой комплексный подход к защите от вирусов, разработанный компанией IBM [КЕРН97а, КЕРН97b]. Эта разработка появилась в связи с постоянно возрастающей угрозой распространения вирусов через Internet. Сначала скажем несколько слов об этой угрозе, а затем кратко изложим подход компании IBM.
В настоящее время вирусная угроза характеризуется сравнительно небольшими скоростями распространения новых вирусов и их новых разновидностей. Антивирусные программы обычно ежемесячно обновляются, что позволяет обеспечить достаточный контроль над ситуацией. Кроме того, в наши дни Internet играет сравнительно малую роль в распространении вирусов. Однако в [CHES97] отмечается, что две приведенные ниже основные тенденции развития технологии сети Internet будут оказывать все более возрастающее влияние на скорость распространения вирусов в будущем.
Интегрированные почтовые системы. Такие системы, как Lotus Notes и Microsoft Outlook, существенно упрощают процедуру пересылки чего угодно кому угодно, а также работу с полученными объектами.
Системы мобильных программ. Возможности Java и ActiveX позволяют программам самостоятельно переходить из одной системы в другую.
В связи с угрозой, связанной с возможностями Internet, фирма IBM разработала прообраз цифровой иммунной системы. Она основана на использовании эмуляции программ, которая обсуждалась в предыдущем подразделе, и предоставляет возможность общей эмуляции и систему обнаружения вирусов. Цель этой системы — обеспечить малое время отклика, чтобы можно было удалить вирусы вскоре после их появления. При появлении в организации нового вируса иммунная система автоматически захватывает его, анализирует, пополняется соответствующими средствами обнаружения и противодействия, удаляет этот вирус и передает информацию о нем в системы, на которых работает программа IBM AntiVirus. После этого данный вирус, где бы он ни появился, будет выявлен еще до того, как он сможет активизироваться.
На рис. 15.8 проиллюстрированы типичные действия, выполняемые в ходе работы цифровой иммунной системы.
Управляющая программа на каждом персональном компьютере использует разнообразные эвристические методы, основанные на наблюдении за поведением системы, подозрительными изменениями программ или сигнатур, свидетельствующими о возможном присутствии вируса. Копию любой про граммы, которую она сочтет зараженной, управляющая программа пересылает на административную машину организации.
Административная машина шифрует полученный образец и отправляет его на центральную машину, где проводится анализ на наличие вирусов.
При анализе используются такие методы, как эмуляция или создание за щищенной среды, в которой можно запустить и проконтролировать подозрительную программу. Затем машина, на которой анализируется вирус, создает рекомендации по идентификации и удалению данного вируса.
Результирующее предписание отправляется обратно на административную машину.
Административная машина пересылает это предписание инфицированному
клиенту.
Кроме того, предписание пересылается другим клиентам организации.
Подписчики, разбросанные по всему миру, получают очередное антивирусное обновление, защищающее их от нового вируса.
Успешность работы цифровой иммунной системы зависит от возможностей анализирующей машины, выявляющей черты новых и модифицированных вирусов. Постоянно анализируя и отслеживая вирусы, найденные в их естественной среде обитания, машина должна быть в состоянии постоянно обновлять цифровые иммунные программы, чтобы сдержать угрозу.
Вирусы, распространяющиеся по электронной почте
Последними разработками в области зловредного программного обеспечения являются вирусы, распространяющиеся по электронной почте. Первые быстро распространяющиеся по электронной почте вирусы, такие, как Melissa, использовали вложенный в сообщение макрос Microsoft Word. Если абонент открывает вложение, макрос активизируется. Затем происходит следующее.
Вирус рассылает себя всем, кого найдет в списке подписчиков, имеющемся в пакете программ электронной почты, который содержится на машине пользователя.
Вирус причиняет вред на локальной машине.
В конце 1999 года появилась более мощная версия вируса, распространяющегося по электронной почте. Чтобы активизировать эту версию, не обязательно открывать вложение; достаточно открыть само сообщение, которое содержит вирус. Этот вирус использует язык сценариев Visual Basic, который поддерживается пакетами электронной почты.
Таким образом, мы стали свидетелями возникновения зловредных программ нового поколения, которые прибывают по электронной почте и используют особенности ее программного обеспечения, чтобы распространяться по сети Internet. Как только вирус активизируется, он распространяется (либо при открытии вложения электронной почты, либо при открытии самого сообщения) по всем электронным адресам, которые известны на зараженном узле. В результате скорость распространения вирусов возрастает от нескольких месяцев или лет до нескольких часов (табл. 15.4), В связи с этим авторам антивирусного программного обеспечения становится очень трудно среагировать прежде, чем будет причинен значительный ущерб. В качестве альтернативных мер, направленных против возрастающей угрозы [SCHN99], необходимо встроить в утилиты, предназначенные для работы в Internet, и программные приложения персональных компьютеров более надежные средства безопасности.
Таблица 15.4. Время распространения вирусов (по данным www.isca.net)
Вирус |
Год запуска |
Тип |
Время достижения пика численности |
Оцениваемый ущерб |
Jerusalem, Cascade, Form |
1990 |
. ехе файл |
3 года |
$50 млн. (все вирусы за 5 лет) |
Concept |
1995 |
Макрос Word |
4 месяца |
$50 млн. |
Melissa Любовное Письме (love letter) |
1999-2000 |
Использует электронную почту, макрос Word Использует электронную почту, основан на VBS |
4 дня 5 часов |
До $385 млн. До $15 млрд. |