Несанкционированный доступ и вирусы
Многие крупные и средние компании, заботящиеся о своей информационной безопасности, наверняка сталкивались с проблемой обнаружения несанкционированных подключений к своей локальной сети. Ведь ни для кого не секрет, что 80% атак происходит изнутри компании и важной задачей хакера является подключение своего компьютера или шпионского устройства к сети компании.
Для эффективного решения этой задачи необходимо обеспечить работу системы обнаружения в режиме реального времени, причем информация о неавторизованном соединении должна содержать не только сетевые параметры (MAC адрес, IP адрес, VLAN, IP адрес и номер порта коммутатора), но и географическое расположение подключенного компьютера (здание, этаж, номер комнаты, номер розетки).
Получение информации о новом соединении
Рабочее место Администратора Безопасности
База данных СКС
База данных СКС — это, пожалуй, один их самых востребованных компонентов Системы Обнаружения Несанкционированных Подключений. При ее наличии Сервер Мониторинга на этапе анализа SNMP сообщения может по номеру порта сетевого коммутатора с точностью до настенной розетки определить вероятное месторасположение подключенного компьютера. К сожалению, не во всякой компании ведется строгий учет соединений СКС. В этом случае можно начать с реализации БД СКС в виде простого файла, содержащего IP адрес коммутатора и описание его месторасположения и обслуживаемых им помещений. Таким образом, на первом этапе, удастся локализовать месторасположение искомого подключения.
Другие возможности
Однако, на этом возможности СОНП не ограничиваются. Используя рассмотренный выше алгоритм, как основу, несложно использовать Систему для выполнения следующих функций.
От мониторинга к проактивному управлению:
— При обнаружении запрещенного подключения СОНП автоматически выключает соответствующий порт коммутатора.
— При обнаружении нового подключения СОНП автоматически помещает соответствующий порт коммутатора в гостевой VLAN.
— Интеграция с другими системами:
— Система заявок — ИТ регистрирует заявку на новый компьютер. После одобрения заявки службой информационной безопасности информация о новом разрешенном соединении автоматически заносится в БД Соединений.
— Система заявок — при возникновении тревожного события соответствующий инцидент автоматически генерируется в системе регистрации заявок и направляется на исполнение службе информационной безопасности.
— БД СКС, поэтажные планы — вывод информации о месторасположении несанкционированного подключения на поэтажном плане.
— Базы данных учета компьютерного оборудования и СКС — при регистрации нового разрешенного соединения информация о подключенном компьютере автоматически заносится в БД учета компьютерного оборудования и БД СКС.
— Ведение журналов истории соединений:
— Ведение истории физического перемещения устройств в сети.
— Ведение журнала включений и выключений устройств в сети.
Конечно, при проектировании и реализации подобной системы необходимо отталкиваться в первую очередь от запросов клиента — службы Информационной Безопасности компании. Если какие-то из описанных выше функций уже реализованы с помощью других информационных систем, то остается только с умом воспользоваться уже имеющимися наработками. Если же в компании не внедрены сопутствующие системы (учета инцидентов, диспетчерского центра, управления СКС), то начать можно с реализации основной функции — обнаружения несанкционированных подключений к локальной сети компании.
Почему SNMP?
В последнее время все большее распространение получает протокол 802.1x, обеспечивающий авторизацию любого подключаемого к сети компьютера. Почему не использовать 802.1х вместо SNMP. К сожалению, эта технология обладает рядом серьезных недостатков. Во-первых, используя 802.1х практически невозможно обеспечить полное покрытие всей локальной сети предприятия. Все устройства в сети (включая активные сетевые устройства) должны поддерживать этот протокол. На сегодняшний день абсолютное большинство принтеров, сканеров, а также нестандартных сетевых устройств (системы видео-наблюдения и т.п.) не поддерживают 802.1х. Для подключения их к сети приходится либо организовывать выделенные сети (что не всегда удобно, например, для принтеров), либо отключать авторизацию 802.1х на портах активного сетевого оборудования, к которым подключены эти устройства. Таким образом, злоумышленнику достаточно найти сетевой принтер или другое устройство, которое не поддерживает авторизацию 802.1х и подключить туда свой компьютер — поскольку авторизация на этом сетевом порту не включена, то определить или запретить это подключение не удается.
Кроме того, протокол 802.1х не обладает собственными средствами мониторинга, т.е. служба информационной безопасности не может получить сигнала о том, что в каком-либо месте сети произошла попытка неавторизованного подключения.
И наконец, протокол 802.1х требует для своей реализации построения инфраструктуры PKI в масштабах всей локальной сети, что само по себе является достаточно трудоемкой задачей.
Как можно полагаться на MAC-адреса?
ЛВС - это не только множество удобств и новых возможностей, но и множество опасностей, связанных с открытым доступом разных пользователей на ПК в ЛВС. Это могут быть и хакеры, и неквалифицированные пользователи, способные по умыслу или по глупости совершать разные несанкционированные действия. Причем самая очевидная опасность – внесение вирусов в ЛВС. Поэтому пользователю ЛВС нужна выработанная система мер, исключающая возможность потери информации в ЛВС.
6. Термины и определения
Администратор сети - пользователь, ответственный за планирование, настройку и управление ежедневной работой сети.
Аудит - отслеживание действий пользователей путем регистрации событий определенных типов в журнале безопасности сервера или рабочей станции.
Безопасность - система защиты компьютеров и данных в сети от повреждения или утраты, основным элементом которой является концепция предоставления доступа к общим файлам только уполномоченным пользователям.
Брандмауэр - сочетание программного и аппаратного обеспечения, образующее систему защиты, как правило, от несанкционированного доступа из внешней глобальной сети во внутреннюю сеть (интрасеть). Брандмауэр предотвращает прямую связь между внутренней сетью и внешними компьютерами, пропуская сетевой трафик через прокси-сервер, находящийся снаружи сети. Прокси-сервер определяет, следует ли разрешить файлу попасть во внутреннюю сеть. Брандмауэр называется также шлюзом безопасности.
Брандмауэр - барьер, запрещающий доступ к защищаемой сети всех протоколов, кроме разрешенных.
Брандмауэр - комбинация устройств и программного обеспечения, при помощи которых осуществляется охрана границы между двумя и более сетями и предотвращается проникновение пользователей, не обладающих соответствующими правами, в частные сети.
Брандмауэр- метод защиты сети от угроз безопасности, исходящих от других систем и сетей, с помощью централизации доступа к сети и контроля за ним аппаратно-программными средствами.
Прокси-сервер –компьютер или работающее на нем программное обеспечение, образующие барьер между двумя сетями, одна из которых закрыта для посторонних, а другая общедоступна. Изолирует интрасеть, выступая в Интернете в роли ее представителя. Главная обязанность – передавать запросы клиентов сети узлам Интернет и возвращать требуемую информацию клиенту.
Прокси-сервер - сервер, расположенный в сети между клиентским программным обеспечением, например, веб-обозревателем, и другим сервером. Он перехватывает все запросы к этому серверу, чтобы определить, не может ли он их выполнить самостоятельно. Если нет, он переадресует эти запросы другому серверу.
Интрасеть - закрытая корпоративная сеть, построенная на базе технологий Интернет.
Интрасеть - сеть в рамках организации, использующая технологии и протоколы Интернета, но доступная только для определенных пользователей, таких как сотрудники организации. Интрасети также называют частными сетями.
Корпоративная вычислительная сеть (Интранет) - сеть, работающая по протоколу TCP/IP и не обязательно подключенная к Интернет.
Кластер - в компьютерных сетях - группа независимых компьютеров, работающих вместе в виде единой системы, предоставляющей клиентам общий набор служб. Кластер позволяет расширить как доступность служб, так и масштабируемость и управляемость их ОС.
Клиент - в локальной сети или в Интернете - компьютер, который получает доступ к общим сетевым ресурсам, предоставляемым сервером.
Локальная сеть - коммуникационная сеть, соединяющая группу компьютеров, принтеров и других устройств в пределах относительно ограниченного пространства. Локальная сеть позволяет соединенным устройствам взаимодействовать друг с другом.
Локальная вычислительная сеть – сеть отдельно расположенных компьютеров, расположенных на относительно небольшом расстоянии (обычно в пределах помещении и/или этажа здания). Обычно она объединяет до нескольких десятков (чаще однотипных) компьютеров с помощью физической линии связи (например, коаксиальным кабелем).
Локальный компьютер - компьютер, доступный пользователю непосредственно, т. е. без коммуникационных линий и устройств.
Маршрутизатор - это устройство, обеспечивающие совместимость локальных и глобальных сетей, а также возможность соединения локальных сетей, имеющих разную топологию.
Общая папка - находящаяся на другом компьютере папка, к которой открыт доступ по сети для других пользователей.
Общий принтер - принтер, принимающий документы от нескольких компьютеров. Например, к принтеру, подключенному к некоторому компьютеру в сети, может быть открыт доступ для пользователей других компьютеров. Общий принтер называется также сетевым.
Общий ресурс - любые устройства, данные или программы, доступные для пользователей сети.
Пакет данных - единица информации, передаваемая как целое между двумя устройствами в сети.
Пользователь - человек, использующий компьютер. Если компьютер подключен к сети, пользователь может работать с программами и файлами, расположенными как на компьютере, так и в сети (в зависимости от ограничений, заданных для учетной записи пользователя администратором сети).
Права пользователей - перечень задач, которые пользователю разрешено выполнять в системе.
Сервер - обычно это компьютер, предоставляющий общие ресурсы пользователям сети.
Сервер – компьютер, обычно обладающий высоким быстродействием и значительным объемом оперативной и дисковой памяти, и выполняющий запросы, поступающие с рабочих станций в сети.
Сервер - программно-аппаратный комплекс, предназначенный для централизованного хранения и обработки данных, поддержки функционирования основного программного обеспечения портала и т.п. Физически может представлять собой группу компьютеров и иного оборудования. Доступ пользователей к информации на сервере осуществляется удаленно, с помощью терминалов - клиентских компьютеров.
Под сервером также может пониматься отдельное приложение (программный комплекс), обеспечивающее выполнение определенных функций портала - сервер баз данных, сервер приложений, веб-сервер, сервер обмена сообщениями и т.п.
Файл-сервер - выделенный компьютер, выполняющая функции хранения данных и программ (файлов), используемых пользователями на клиентских компьютерах.
Рабочая станция - пользовательский компьютер, обычно обладающий ограниченными ресурсами, и выдающий запросы для исполнения серверу.
Сетевое имя- имя общего ресурса на сервере. Каждая общая папка на сервере имеет сетевое имя, применяемое пользователями ПК для ссылок на эту папку.
Сетевой адаптер - устройство, соединяющее компьютер с сетью. Это устройство также называют сетевой платой или платой сетевого интерфейса.
Сеть - группа компьютеров и других устройств, таких как принтеры и сканеры, соединенных линиями связи, позволяющими всем устройствам взаимодействовать друг с другом.
Сеть Ethernet – обычно использует топологию шины и обеспечивает передачу данных в локальной сети на скорости 10 (100) мегабитов в секунду.
Топология - система отношений между компонентами сети ОС Windows.
Модель ISO/OSI - концептуальная семиуровневая модель, состоящая из приложения, представления, сеанса, транспорта, сети, канала данных и физических уровней. Эта модель предложена международной организацией по стандартам (ISO).
Мост - устройство, соединяющее две сети, использующие одинаковые методы передачи данных.
Маршрутизатор - устройство, соединяющее сети разного типа, но использующие одну ОС.
Маршрутизация - процесс определения (оптимального) пути доступа к объектам (компьютерам) сети.
Шлюз - устройство, позволяющее организовать обмен данными между двумя сетями, использующими различные протоколы взаимодействия.
Канал – средство или путь, по которому передаются сигналы или данные.
Локальная сеть - компьютерная сеть, охватывающая ограниченную зону, например, отдельный этаж или здание.
Магистраль – основная линия связи, к которой подключена сеть. Для крупных сетей часто реализована на волоконно-оптическом кабеле.
Маршрутизация – процесс определения в коммуникационной сети пути, по которому вызов, либо блок данных может достигнуть адресата.
Пакет – производственная единица информации, передаваемая по сети или по каналу связи.
Протокол – набор правил, которым следуют компьютеры и программы при обмене информацией.
Протокол - набор правил и соглашений для передачи данных по сети. Такие правила определяют содержимое, формат, параметры времени, последовательность и проверку ошибок в сообщениях, которыми обмениваются сетевые устройства.
Протокол - набор правил и соглашений, согласно которому взаимодействуют два или более компьютеров в сети.
Топология – конфигурация сети в целом. Примеры топологий локальных сетей – шинная, кольцо, звезда.
Топология сети - физическая конфигурация компьютеров в сети.
Линии связи - средства передачи информации между компьютерами, использующие различные физические среды, в том числе провода, кабели, оптоволокно, электромагнитные и лазерные лучи.
Локальная информационная сеть - соединение нескольких компьютеров между собой линиями связи для передачи информации между подразделениями предприятия с целью совместной обработки.
Сеть компьютеров - комплекс аппаратного и программного обеспечения, поддерживающий функции обмена информацией между отдельно расположенными (на расстояниях от нескольких метров до тысяч километров) компьютерами.
Сеть с выделенным сервером - содержит выделенный компьютер (сервер), управляющий обменом информацией по сети между рабочими станциями.
Одноранговая сеть не содержит выделенных компьютеров (функции управления сетью осуществляются рабочими станциями).
Рабочая группа - группа компьютеров, объединенных одним именем для удобства работы в локальной вычислительной сети.
Защита информации от несанкционированного доступа
Для определения принципа защиты информации важно точное определение несанкционированного доступа к информации (НСД).
Несанкционированный доступ – доступ с нарушением правил разграничения доступа субъекта к информации, с использованием штатных средств (программного или аппаратного обеспечения), предоставляемых компьютерной системой.
Правила разграничения доступа – регламентация прав доступа субъекта к определенному компоненту системы.
Защита от несанкционированного доступа к ресурсам компьютера – это комплексная проблема, подразумевающая решение следующих вопросов:
1) присвоение пользователю, а равно и терминалам, программам, файлам и каналам связи уникальных имен и кодов (идентификаторов);
2) выполнение процедур установления подлинности при обращениях (доступе) к информационной системе и запрашиваемой информации, т.е. проверка того, что лицо или устройство, сообщившее идентификатор, в действительности ему соответствует (подлинная идентификация программ, терминалов и пользователей при доступе к системе чаще всего выполняется путем проверки паролей, реже обращением в специальную службу, ведающую сертификацией пользователей);
3) проверка полномочий, т. е. проверка права пользователя на доступ к системе или запрашиваемым данным (на выполнение над ними определенных операций – чтение, обновление) с целью разграничения прав доступа к сетевым и компьютерным ресурсам;
4) автоматическая регистрация в специальном журнале всех как удовлетворенных, так и отвергнутых запросов к информационным ресурсам с указанием идентификатора пользователя, терминала, времени и сущности запроса, т. е. ведение журналов, позволяющих определить, через какой хост-компьютер действовал хакер, а иногда и определить его IP-адрес и точное местоположение.
Компьютерный вирус– это класс программ, способных к саморазмножению (возможно и самомодификации) в работающей вычислительной среде и вызывающих нежелательные для пользователей действия. Последние могут выражаться в нарушении работы программ, выводе на экран монитора посторонних сообщений, символов, изображений и т. п., порче и/или невозможности прочтения записей как отдельных файлов, так и дисков (дискет) в целом, замедлении работы ЭВМ и т. д.
Все компьютерные вирусы классифицируются по следующей схеме (рис.1).
Загрузочные вирусы внедряются в загрузочный сектор дискеты или в главную загрузочную запись жесткого диска. Такой вирус изменяет программу начальной загрузки операционной системы, запуская необходимые для нарушения конфиденциальности программы или подменяя, для этой цели, системные файлы. В основном это относится к файлам, обеспечивающим доступ пользователей в систему.
Файловые вирусы чаще всего внедряются в исполняемые файлы, имеющие расширение .exe и .com, но могут внедряться и в файлы с компонентами операционных систем, драйверы внешних устройств, объектные файлы и библиотеки, в командные пакетные файлы. При запуске зараженных программ вирус на некоторое время получает управление и в этот момент производит запланированные деструктивные действия и внедрение в другие файлы программ. В свою очередь файловые вирусы делятся на ряд подгрупп:
Рис. 1. Классификация компьютерных вирусов
а) перезаписывающие вирусы записывают свой код вместо кода заражаемого файла и уничтожают его содержимое;
б) паразитирующие вирусы изменяют содержимое файлов, оставляя сами файлы полностью или частично работоспособными;
в) вирусы-компаньоны не изменяют заражаемые файлы, а создают для них файлы-двойники, которые при запуске перехватывают управление на себя;
г) файловые черви являются разновидностью вирусов-компаньонов. Они отличаются тем, что не связывают себя с каким-либо выполняемым файлом, а лишь копируют свой код в один из каталогов дисков в расчете на то, что они будут когда-либо запущены пользователем;
д) загрузочно-файловые (многосторонние), или файлово-загрузочные вирусы – способны поражать как загрузочные сектора, так и файлы (в том числе вирусы типа DIR, которые нарушают файловую систему диска);
е) линк-вирусы, как и вирусы-компаньоны, не изменяют физическое содержание файлов, однако при запуске зараженного файла приводят к тому, что за счет модификации определенных его полей, операционная система выполняет их код;
ж) вирусы в исходных текстах, OBJ и LIB-вирусы заражают библиотеки компиляторов, объектные модули и исходные тексты программ.
Документальные вирусы (макровирусы) заражают текстовые файлы редакторов или электронных таблиц, используя макросы, которые сопровождают такие документы. Вирус активизируется, когда документ загружается в соответствующее приложение. По разным данным в настоящее время на макровирусы приходится от 75 до 80 % всех заражений компьютеров.
Сетевые черви – программы, которые, распространяясь по сети, не изменяют файлы, а проникают в память компьютера, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Хотя их и называют вирусами, таковыми они не являются. Они не размножаются и не обращаются к ресурсам компьютера за исключением его оперативной памяти.
Сетевые черви подразделяют на следующие виды:
а) Интернет-черви – распространяются по Интернету;
б) LAN-черви – распространяются по локальным сетям;
в) IRC-черви – распространяются через телеконференции – чаты [IRC, Internet Relay Chat].
Резидентные вирусы после завершения инфицированной программы остаются в оперативной памяти и продолжают свои деструктивные действия, заражая другие исполняемые программы, вплоть до выключения компьютера.
Нерезидентные вирусы запускаются вместе с зараженной программой и удаляются из памяти вместе с ней.
Паразитирующие – вирусы, изменяющие содержимое зараженных файлов. Эти вирусы легко обнаруживаются и удаляются из файла, так как имеют всегда один и тот же внедряемый программный код.
Троянские программы подразделяют на следующие виды:
а) утилиты несанкционированного удаленного управления, внедряясь в компьютер, предоставляют своему владельцу возможность доступа в этот компьютер и управления им;
б) эмуляторы DDoS-атак создают условия, при которых на зараженный Web-сервер поступает из разных мест большое количество пакетов, что вызывает отказ работы системы;
в) похитители информации, ворующие информацию, в том числе и конфиденциальную;
Невидимые вирусы (вирусы-невидимки)маскируют свое присутствие в зараженном файле при попытках их обнаружения. Они перехватывают запрос антивирусной программы и либо временно удаляются из зараженного файла, либо подставляют вместо себя незараженные участки программы.
Мутирующие вирусы (вирусы-мутанты, полиморфные вирусы) способны самопроизвольно видоизменяться при размножении, чтобы затруднить их идентификацию и ликвидацию, включая устранение последствий их действия.
Существует еще скрипт-вирусы, логические бомбы и т.п.
Скрипт-вирусы – вирусы, написанные на скрипт-языках, таких, как Visual Basic Script, Java Script и др.. Скрипт-вирусы делятся на подгруппы, ориентированные на DOS, Windows и другие операционные системы. Сигналом к активизации (началу действия) компьютерных вирусов могут служить: включение ЭВМ, начало работы (загрузки) зараженной программы, диска или дискеты, а также дата, кратность перезагрузки ЭВМ и т. д.;
Логическая бомба – программа (или ее отдельный модуль), которая при выполнении условий, определенных ее создателем, осуществляет несанкционированные действия, например при наступлении обусловленной даты или, скажем, появлении или исчезновении какой-либо записи в базе данных происходит разрушение программ или БД.
Известен случай, когда программист, разрабатывавший систему автоматизации бухгалтерского учета, заложил в нее логическую бомбу, и, когда из ведомости на получение зарплаты исчезла pro фамилия, специальная программа-бомба уничтожила всю систему.
При заражении компьютера вирусом важно его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнести:
• прекращение работы или неправильная работа ранее успешно функционировавших программ;
• замедление работы компьютера;
• невозможность загрузки операционной системы;
• исчезновение файлов и каталогов или искажение их содержимого;
• изменение даты и времени модификации файлов;
• изменение размеров файлов;
• неожиданное значительное увеличение количества файлов на диске;
• существенное уменьшение размера свободной оперативной памяти;
• вывод на экран непредусмотренных сообщений или изображений;
• подача непредусмотренных звуковых сигналов;
• частые зависания и сбои в работе компьютера.
Следует отметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера.
информация компьютерный вирус программа
Компьютерный вирус это программа, обладающая способностью к скрытому размножению в среде используемой операционной системы путем включения в исполняемые или хранящиеся программы своей, возможно модифицированной копии, которая сохраняет способность к дальнейшему размножению.
Компьютерные вирусы способны размножаться, внедряться в программы, передаваться по линиям связи, сетям обмена информации, выводить из строя системы управления.
В принципе, не все вредоносные программы являются вирусами. Строго определения компьютерного вируса не существует. Разнообразие вирусов столь велико, что дать достаточное условие (перечислить набор признаков, при выполнении которых программу можно однозначно отнести к вирусам) просто невозможно - всегда найдется класс программ с данными признаками, не являющихся при этом вирусом.
Необходимо отметить, что компьютерные вирусы, или, как более правильно, программные вирусы, являются в настоящее время наиболее эффективным средством доставки внедрения различных разведывательных программ. Под программные вирусом понимается автономно функционирующая программа, обладающая способностью к самовключению в тела других программ и последующему самовоспроизведению и самораспространению в информационно - вычислительных сетях и отдельных ЭВМ. Программные вирусы представляют собой весьма эффективное средство реализации практически всех угроз безопасности информационно-вычислительных сетях. Поэтому вопросы анализа возможностей программных вирусов и разработки способов противодействия вирусам в настоящее время приобрели значительную актуальность и образовали одно из наиболее приоритетных направлений работ по обеспечению безопасности информационно вычислительных сетей.
Заражение программы, как правило, выполняется таким образом, чтобы вирус получил управление раньше самой программы, либо имплантируется в ее тело так, что первой командой зараженной программы является безусловный переход на вирус, тест заканчивается аналогичной командой безусловного перехода на команду вирусоносителя, бывшую первой до заражения. Получив управление, вирус выбирает следующий файл, заражает его, возможно, выполняет какие - либо другие действия, после чего отдает управление вирусоносителю.
Вирус может попасть на компьютер пользователя следующими способами:
Дискеты. Самый распространённый канал заражения в 1980--1990-е годы. Сейчас практически отсутствует из-за появления более распространённых и эффективных каналов и отсутствия флоппи-дисководов на многих современных компьютерах.
Флеш-накопители (флешки). В настоящее время USB-флешки заменяют дискеты и повторяют их судьбу -- большое количество вирусов распространяется через съёмные накопители, включая цифровые фотоаппараты, цифровые видеокамеры, цифровые плееры (MP3-плееры), а с 2000-х годов всё большую роль играют мобильные телефоны, особенно смартфоны. Использование этого канала ранее было преимущественно обусловлено возможностью создания на накопителе специального файла autorun.inf, в котором можно указать программу, запускаемую Проводником Windows при открытии такого накопителя. В Windows 7 возможность автозапуска файлов с переносных носителей была отключена.
Электронная почта. Обычно вирусы в письмах электронной почты маскируются под безобидные вложения: картинки, документы, музыку, ссылки на сайты.
Веб-страницы. Возможно также заражение через страницы Интернета ввиду наличия на страницах всемирной паутины различного "активного" содержимого: скриптов, ActiveX-компонент.
Интернет и локальные сети. Вирус-червь попадает в операционную систему и, как правило, начинает действия по заражению других компьютеров через локальную сеть или Интернет. Злоумышленники используют заражённые компьютеры пользователей для рассылки спама или для DDoS-атак.
Предшественниками программных вирусов принято считать так называемые троянские программы, тела которых содержат скрытые последовательности команд, выполняющие действия, наносящие вред пользователям. Наиболее распространенной разновидностью троянских программ являются широко известные программы массового применения (редакторы, игры, трансляторы), в которых встроены так называемые логические бомбы, срабатывающие по наступлению некоторого события.
Логическая бомба -- программа, которая запускается при определённых временных или информационных условиях для осуществления вредоносных действий (как правило, несанкционированного доступа к информации, искажения или уничтожения данных).
Многие вредоносные программы, такие как вирусы или черви, часто содержат логические бомбы, которые срабатывают в заранее определённое время или при выполнении определённых условий, например, в пятницу 13, день смеха или в годовщину Аварии на Чернобыльской АЭС (вирус CIH).
К логическим бомбам, как правило, относят код, который приводит к несообщённым заранее последствиям для пользователей. Таким образом, отключение определённой функциональности или окончание работы условно-бесплатных программ, после завершения установленного периода, не считается логической бомбой.
Принципиальное отличие вируса от троянской программы состоит в том, что вирус после запуска его в информационно- вычислительные сети существуют самостоятельно и в процессе своего функционирования заражает программы путем включения в них своего текста. Таким образом, вирус представляет собой своеобразный генератор троянских программ.
Создание и распространение вредоносных программ (в том числе вирусов) преследуется в России согласно Уголовному кодексу РФ (глава 28, статья 273). Согласно доктрине информационной безопасности РФ, в России должен проводиться повышение правовой культуры и компьютерной грамотности граждан по вопросам защиты информации в ЭВМ.
Все рассмотренные мною методы и типы НСД к информации являются преднамеренными (D) или случайными (A) событиями.
Читайте также: