письмом, специально оформленным обращением к веб-странице «хозяина», ICQ-сообщением. Данные троянские программы используются в многокомпонентных троянских наборах для извещения своего «хозяина» об успешной инсталляции троянских компонент в атакуемую систему.

ArcBomb — «бомбы» в архивах представляют собой архивы, специально оформленные таким образом, чтобы вызывать нештатное поведение архиваторов при попытке разархивировать данные — зависание или существенное замедление работы компьютера, или заполнение диска большим количеством «пустых» данных. Особенно опасны «архивные бомбы» для файловых и почтовых серверов, если на сервере используется какая-либо система автоматической обработки входящей информации

— «архивная бомба» может просто остановить работу сервера. Встречаются три типа подобных «бомб»:

Некорректный заголовок архива,

Повторяющиеся данные

Одинаковые файлы в архиве.

6.3Защита от программных закладок

Задача защиты от ПЗ включает три подзадачи

1.Не допустить внедрение ПЗ в компьютерную систему;

2.Выявить внедренную программную закладку;

3.Удаление внедренной программной закладки.

Как видно, эти задачи сходны с задачами защиты от компьютерных вирусов.

Задача решается с помощью средств контроля за целостностью запускаемых системных и прикладных программ, а также за целостностью хранимой в ИС информации и за критическими для функционирования системы событиями. Однако эти средства действенны, если сами не подвержены ПЗ, которые могут выполнять следующие действия:

-Навязывать конечные результаты контрольных проверок;

-Влиять на процесс считывания информации и запуск программ, за которыми осуществляется контроль.

6.3.1 Защита от внедрения программных закладок

Универсальными средствами защиты от внедрения ПЗ является создание изолированного компьютера. Компьютер называется изолированным, если выполняется следующие условия:

1.На нем установлена система BIOS, не имеющая закладок;

2.ОС проверена на наличие ПЗ;

3.Достоверно установлена неизменность BOIS и ОС для данного сеанса;

4.На компьютере не запускались другие программы, кроме уже прошедших проверку на наличие ПЗ;

5.Исключен запуск проверенных программ в каких-либо иных условиях кроме изолированного ПК.

Для определения степени изолированности компьютера используется модель ступенчатого контроля. Сначала проверяется:

-Нет ли изменений в BIOS;

-Затем считываются загрузочный сектор диска и драйверы ОС, которые также анализируются на предмет внесений в них несанкционированных изменений;

-Запускается с помощью ОС монитор контроля вызовов программы, который следит, за тем, чтобы в компьютере запускались только проверенные программы.

Интересный метод борьбы с внедрением ПЗ может быть использован в информационной банковской системе, в которой циркулируют только документы. Чтобы не допустить проникновение ПЗ через каналы связи, в этой системе не допускается прием никакого исполняемого кода. Для распознавания события типа «Получен исполняемый код» или «Получен текстовый документ» применяется контроль за наличием в файле запрещенных символов.

103

6.3.2 Выявление внедренной программной закладки

Необходимо выявить признаки присутствия кода ПЗ в компьютерной системе. Признаки могут быть качественными и визуальными; обнаруживаемые средствами тестирования и диагностики. Качественные и визуальные признаки: отклонение в работе программы; изменяется состав и длины файлов. Программа работает слишком медленно или слишком быстро заканчивает свою работу или совсем перестает запускаться Например, пользователи пакета шифрования и ЭЦП «Криптоцентр» заметили, что подпись ставится

слишком быстро. Исследования экспертов ФАПСИ показали, что внедрена ПЗ, которая основывалась на навязывании длины файла. Пользователи пакета «Криптон» забили тревогу, что скорость шифрования по криптографическому алгоритму ГОСТ 28147-89 возросла в 30 раз.

Признаки, выявляемые с помощью средств тестирования и диагностики, характерны как для ПЗ, так и для компьютерных вирусов. С инициированием статической ошибки на дисках хорошо справляется Disk Doctor из Norton Utilities. А средства проверки целостности данных типа ADINF позволяют успешно выявлять изменения, вносимые в файлы ПЗ.

Как выявить троянца:

Программные средства, предназначенные для защиты от троянцев, используют согласование объектов. В качестве объектов – файлы, каталоги. Согласование позволяет ответить на вопрос, изменились ли файлы и каталоги с момента последней проверки. Берется резервная копия файла и его атрибуты сравниваются с атрибутами файла на диске:

-время;

-размер;

-контрольная сумма;

-получение хэш-функции файла.

Для вычисления контрольной суммы есть специальные утилиты sum, но и контрольную сумму можно подделать. Более надежным является одностороннее хэширование файлов.

Алгоритмы: МД4, МД5, SНA.

Вычисление ХЭШ – значения файлов хранятся в специальной БД, которая является самым уязвимым местом {в ОС Unix - TRIPWIRE}

Пользователю предлагается хранить эту БД на съемном носителе и запирать в сейф. Программное средство eSafe фирмы Aladdin Knowledge Systems для Windows cостоит из 3 частей:

1)Антивирус VisuSafe

2)Брандмауэр

3)Модуль защиты компьютерных ресурсов.

Брандмауэр контролирует весь трафик. Для защиты компьютерных ресурсов используется модель «песочницы» - специальной изолированной области памяти.

Все автоматически загружаемые из Internet Java Applet, ActiveX попадают в «песочницу». Карантинный период наблюдения может быть от 1 о 30 дней. Все данные о поведении программ заносятся в журнал регистрации. Далее принимается решение: разрешить загрузку данной программы или нет.

Способ удаления ПЗ зависит от метода внедрения.

Если это программно-аппаратная закладка, то – перепрограммировать ПЗУ. В других случаях – удалить вместе весь программный код и найти новую версию программы.

Защита бизнес-приложений от программных закладок Организационный способ защиты

Организационный подход к защите чаще всего применяется в крупных компаниях, ведущих собственные дополнительные разработки к крупным приложениям, чаще всего это ERP или АБС. Ключевым моментом этого подхода является разделение жизненного цикла продукта на три этапа: разработка, тестирование и непосредственное использование.

На первом этапе пишется код, на втором тестируется корректность реализации функционала и наличие ошибок, в том числе и с точки зрения безопасности (всевозможные тесты на проникновение). На

104