Технології комп’ютерної безпеки

* Користуйтеся захищеними операційними системами.

* Створіть кілька пасток для хакерів (наприклад, заведіть на диску файл з привабливим ім'ям, прочитати який неможливо за допомогою звичайних засобів, і якщо буде зафіксовано успішне звернення до цього файлу, значить в захищається комп'ютерну систему була впроваджена програмна закладка).

* Регулярно тестуйте комп'ютерну систему за допомогою спеціальних програм, призначених для визначення ступеня її захищеності від хакерських атак.

2. Програми-шпигуни

2.1 Програмні закладки

Сучасна концепція створення комп'ютерних систем передбачає використання програмних засобів різного призначення в єдиному комплексі. Наприклад, типова система автоматизованого документообігу складається з операційного середовища, програмних засобів управління базами даних, телекомунікаційних програм, текстових редакторів, антивірусних моніторів, засобів для криптографічного захисту даних, а також засобів аутентифікації та ідентифікації користувачів. Головною умовою правильного функціонування такої комп'ютерної системи є забезпечення захисту від втручання в процес обробки інформації тих програм, присутність яких в комп'ютерній системі не обов'язково. Серед подібних програм, в першу чергу, слід згадати комп'ютерні віруси. Проте є шкідливі програми ще одного класу. Від них, як і від вірусів, слід з особливою ретельністю очищати свої комп'ютерні системи. Це так звані програмні закладки, які можуть виконувати хоча б одну з таких дій:

* вносити довільні спотворення в коди програм, що знаходяться і оперативної пам'яті комп'ютера (програмна закладка першого типу);

* переносити фрагменти інформації з одних областей оперативної або зовнішньої пам'яті комп'ютера в інші (програмна закладка другого типу);

* спотворювати виведену на зовнішні комп'ютерні пристрої або в канал зв'язку інформацію, отриману в результаті роботи інших програм (програмна закладка третього типу).

Програмні закладки можна класифікувати і за методом їх впровадження в комп'ютерну систему:

* програмно-апаратні закладки, асоційовані з апаратними засобами комп'ютера (їх середовищем існування, як правило, є BIOS - набір програм, записаних у вигляді машинного коду в постійному запам'ятовуючому пристрої - ПЗУ);

* завантажувальні закладки, асоційовані з програмами початкового завантаження, які розташовуються в завантажувальних секторах (з цих секторів у процесі виконання початкового завантаження комп'ютер зчитує програму, що бере на себе управління для подальшого завантаження самої операційної системи);

* драйверні закладки, асоційовані з драйверами (файлами, і яких міститься інформація, необхідна операційній системі для управління підключеними до комп'ютера периферійними пристроями);

* прикладні закладки, асоційовані з прикладним програмним забезпеченням загального призначення (текстові редактори, утиліти, антивірусні монітори і програмні оболонки);

* виконувані закладки, асоційовані з виконуваними програмними модулями, що містять код цієї закладки (найчастіше ці модулі є пакетні файли, тобто файли, які складаються з команд операційної системи, виконуваних одна за однією, як якщо б їх набирали на клавіатурі комп'ютера);

* закладки-імітатори, інтерфейс яких збігається з інтерфейсом деяких службових програм, що вимагають введення конфіденційної інформації (паролів, криптографічних ключів, номерів кредитних карток);

* замасковані закладки, які маскуються під програмні засоби оптимізації роботи комп'ютера (файлові архіватори, дискові дефрагментатори) або під програми ігрового і розважального призначення.

Щоб програмна закладка могла зробити будь-які дії по відношенню до інших програм чи по відношенню до даних, процесор повинен приступити до виконання команд, що входять до складу коду програмної закладки. Це можливо тільки при одночасному дотриманні наступних умов:

* програмна закладка повинна потрапити в оперативну пам'ять комп'ютера (якщо закладка відноситься до першого типу, то вона повинна бути завантажена до початку роботи іншої програми, яка є метою впливу закладку, або під час роботи цієї програми);

* робота закладки, що знаходиться в оперативній пам'яті, починається при виконанні ряду умов, які називаються активизирующими.

Цікаво, що іноді сам користувач провокується на запуск виконуваного файлу, що містить код програмної закладки. Відомий такий випадок. Серед користувачів вільно поширювався набір з файлів, що архівуються. Для вилучення файлів з нього вимагалося викликати спеціальну утиліту, яка, як правило, є майже у кожного користувача і запускається після вказівки її імені в командному рядку. Однак мало хто з користувачів помічав, що в отриманому наборі файлів вже була програма з таким же ім'ям і. Що запускати саме вона. Крім розархівування файлів, ця програмна закладка додатково виробляла ряд дій негативного характеру.

З урахуванням зауваження про те, що програмна закладка повинна бути обов'язково завантажена в оперативну пам'ять комп'ютера, можна виділити резидентні закладки (вони знаходяться в оперативній пам'яті постійно, починаючи з деякого моменту і до закінчення сеансу роботи комп'ютера, т. з. До його перезавантаження або до вимикання живлення) та нерезидентні (такі закладки потрапляють в оперативну пам'ять комп'ютера аналогічно резидентним, проте, на відміну від останніх, вивантажуються після закінчення деякого часу або при виконанні особливих умов).

Існують три основні групи деструктивних дій, які можуть здійснюватися програмними закладками:

* копіювання інформації користувача комп'ютерної системи (паролів, криптографічних ключів, кодів доступу, конфіденційних електронних документів), що знаходиться в оперативній або зовнішньої пам'яті цієї системи або в пам'яті іншої комп'ютерної системи, підключеної до неї через локальну або глобальну комп'ютерну мережу;

* зміна алгоритмів функціонування системних, прикладних м службових програм (наприклад, внесення змін до програми розмежування доступу може призвести до того, що вона дозволить вхід в систему всім без виключення користувачам незалежно від правильності введеного пароля);

* нав'язування певних режимів роботи (наприклад, блокування запису на диск при видаленні інформації, при цьому інформація, яку потрібно видалити, не знищується і може бути згодом скопійована хакером).

У всіх програмних закладок (незалежно від способу їх впровадження в комп'ютерну систему, терміну їх перебування в оперативній пам'яті і призначення) є одна важлива спільна риса: вони обов'язково виконують операцію запису в оперативну або зовнішню пам'ять системи. При відсутності цієї операції ніякого негативного впливу програмна закладка надати не може. Ясно, що для цілеспрямованого впливу вона повинна виконувати і операцію читання, інакше в ній може бути реалізована тільки функція руйнування (наприклад, видалення або заміна інформації в певних секторах жорсткого диска).

2.2 Моделі впливу програмних закладок на комп'ютери

Перехоплення

У моделі перехоплення програмна закладка впроваджується в ПЗУ. системне або прикладне програмне забезпечення та зберігає всю або вибрану інформацію, що вводиться з зовнішніх пристроїв комп'ютерної системи або виводиться на ці пристрої, у прихованій області пам'яті локальної або віддаленої комп'ютерної системи. Об'єктом збереження, наприклад, можуть служити символи, введені з клавіатури (всі повторювані два рази послідовності символів), або електронні документи, роздруковуються на принтері.

Дана модель може бути двоступеневою. На першому етапі зберігаються тільки, наприклад, імена або початку файлів. На другому накопичені дані аналізуються зловмисником з метою прийняття рішення про конкретних об'єктах подальшої атаки.

Модель типу "перехоплення" може бути ефективно використана при атаці на захищену операційну систему Windows NT. Після старту Windows NT на екрані комп'ютерної системи з'являється запрошення натиснути клавіші <Ctrl> + <Alt> + <Del>. Після їх натиснення завантажується динамічна бібліотека MSGINA.DLL, що здійснює прийом вводиться пароля та виконання процедури його перевірки (аутентифікації). Опис усіх функцій цієї бібліотеки можна знайти у файлі Winwlx.h. Також існує простий механізм заміни вихідної бібліотеки MSGINA.DLL на налаштовувану (для цього необхідно просто додати спеціальну рядок до реєстру операційної системи Windows NT і вказати місце розташування користувача бібліотеки). У результаті зловмисник може модифікувати процедуру контролю за доступом до комп'ютерної системи, що працює під управлінням Windows NT.

Спотворення

У моделі спотворення програмна закладка змінює інформацію, яка записується в пам'ять комп'ютерної системи в результаті роботи програм, або придушує / ініціює виникнення помилкових ситуацій у комп'ютерній системі.

Можна виділити статичне і динамічне спотворення. Статичний спотворення відбувається всього один раз. При цьому модифікуються параметри програмного середовища комп'ютерної системи, щоб згодом у ній виконувалися потрібні зловмисникові дії. До статичному спотворення відноситься, наприклад, внесення змін в файл AUTOEXEC.BAT операційної системи Windows 95/98, які призводять до запуску заданої програми, перш ніж будуть запущені всі інші, перелічені в цьому файлі.

Фахівцям російського Федерального агентства урядового зв'язку та інформації (ФАПСИ) вдалося виявити при аналізі однієї з вітчизняних систем цифрового підпису цікаве статистичне спотворення Зловмисник (співробітник відділу інформатизації фінансової організації, в якій була впроваджена ця система) виправив у виконуваному ЕХЕ-модулі програми перевірки правильності цифрового підпису символьну рядок "ПІДПИС некоректно" на символьну рядок "ПІДПИС коректно". В результаті взагалі перестали фіксуватися документи з невірними цифровими підписами, і, отже, в електронні документи стало можна вносити довільні зміни вже після їх підписання електронним цифровим підписом.

Динамічне спотворення полягає у зміні будь-яких параметром системних або прикладних процесів за допомогою заздалегідь активізованих закладок. Динамічне спотворення можна умовно розділити так: спотворення на вході (коли на обробку потрапляє вже спотворений документ) та спотворення на виході (коли спотворюється інформація, яка відображається для сприйняття людиною, або призначена для роботи інших програм).

Практика застосування цифрового підпису в системах автоматизованого документообігу показала, що саме програмна реалізація цифрового підпису особливо схильна до впливу програмних закладок типу "динамічний спотворення", які дозволяють здійснювати проводки фальшивих фінансових документів і втручатися в процес вирішення спорів за фактами неправомірного застосування цифрового підпису. Наприклад, в одній із програмних реалізацій широко відомої криптосистеми PGP електронний документ, під яким вимагалося поставити цифровий підпис, зчитується блоками по 512 байт, причому процес зчитування вважався завершеним, якщо в прочитаному блоці дані займали менше 512 байт. Робота однієї програмної закладки, виявленої фахівцями ФАПСИ, грунтувалася на нав'язуванні довжини файлу. Ця закладка дозволяла зчитувати тільки перші 512 байт документа, і в результаті цифровий підпис визначалася на основі лише цих 512 байт. Така ж схема діяла і при перевірці поставленої під документом цифрового підпису. Отже, що залишилася частина цього документа могла бути довільним чином викривлена, і цифровий підпис під ним продовжувала залишатися "коректною".

Існують 4 основних способи впливу програмних закладок на цифровий підпис:

* спотворення вхідної інформації (змінюється надходить на підпис електронний документ);

* спотворення результату перевірки істинності цифрового підпису (незалежно від результатів роботи програми цифровий підпис оголошується справжньої);

* нав'язування довжини електронного документа (програмі цифрового підпису пред'являється документ меншої довжини, ніж насправді, і в результаті цифрові Повний ставиться тільки під частиною вихідною документа);

* спотворення програми цифрового підпису (вносяться зміни в виконуваний код програми з метою модифікації реалізованого алгоритму).

В рамках моделі "спотворення" також реалізуються програмні закладки. дія яких грунтується на ініціювання або придушенні сигналу про виникнення помилкових ситуацій в комп'ютерній системі, тобто тих, які призводять до відмінного від нормального завершення виконуваної програми (встановленого відповідною документацією).

Для ініціювання статичної помилки на пристроях зберігання інформації створюється область, при зверненні до якої (читання, запис, форматування і т. п.) виникає помилка, що може утруднити чи блокувати деякі небажані для зловмисника дії системних прикладних програм (наприклад, не дозволяти здійснювати коректно знищити конфіденційну інформацію на жорсткому диску).

При ініціюванні динамічної помилки для деякої операції генерується помилкова помилка з числа тих помилок, які можуть виникати при виконанні даної операції. Наприклад, для блокування прийому або передачі інформації в комп'ютерній системі може постійно ініціюватися помилкова ситуація "МОДЕМ зайнятий". Або при прочитанні першого блоку інформації довжиною 512 байт може встановлюватися відповідний прапорець для того, щоб не допустити прочитання другого і наступних блоків і в підсумку підробити цифровий підпис під документом.

Щоб маскувати помилкові ситуації, зловмисники зазвичай використовують придушення статичної або динамічної помилки. Метою такого придушення часто є прагнення блокувати нормальне функціонування комп'ютерної системи або бажання змусити її неправильно працювати. Надзвичайно важливо, щоб комп'ютерна система адекватно реагувала на виникнення всіх без винятку помилкових ситуацій, оскільки відсутність належної реакції на будь-яку помилку еквівалентно її придушення і може бути використано зловмисником. Відомий випадок успішної атаки пари аргентинських літаків-торпедоносців на англійський есмінець "Шеффілд", що закінчився нанесенням серйозних пошкоджень цього корабля. Через помилки в програмному забезпеченні встановлена на ньому система протиповітряної оборони не змогла вибрати мету, яку належало збивати першої, оскільки атакуючі літаки летіли дуже близько один від одного.

Різновидом перекручення є також модель типу троянський кінь. У цьому випадку програмна закладка вбудовується в постійно використовуване програмне забезпечення та по деякому активізує події викликає виникнення збійної ситуації в комп'ютерній системі. Тим самим досягаються відразу дві мети: паралізується її нормальне функціонування, а зловмисник, отримавши доступ до комп'ютерної системи для усунення неполадок, зможе, наприклад, витягти з неї інформацію, перехоплену іншими програмними закладками. Як активизуючого події зазвичай використовується наступ певного момент; часу, сигнал з каналу модемного зв'язку або стан деяких лічильників (наприклад, лічильника кількості запусків програми).

Прибирання сміття

Як відомо, при зберіганні комп'ютерних даних на зовнішніх носіях прямого доступу виділяється кілька рівнів ієрархії: сектора, кластери і файли. Сектора є одиницями зберігання інформації на апаратному рівні. Кластери складаються з одного або кількох поспіль секторів. Файл - це безліч кластерів, пов'язаних з певним законом.

Робота з конфіденційними електронними документами зазвичай зводиться до послідовності наступних маніпуляцій з файлами:

* створення;

* зберігання;

* корекція;

* знищення.

Для захисту конфіденційної інформації зазвичай використовується шифрування. Основна загроза виходить зовсім не від використання нестійких алгоритмів шифрування і "поганих" криптографічних ключів (як це може здатися на перший погляд), а від звичайних текстових редакторів і баз даних, що застосовуються для створення та корекції конфіденційних документів!

Справа в тому, що подібні програмні засоби, як правило, у процесі функціонування створюють в оперативній або зовнішньої пам'яті комп'ютерної системи тимчасові копії документів, з якими вони працюють. Природно, всі ці тимчасові файли випадають з поля зору будь-яких програм шифрування і можуть бути використані зловмисником для того, щоб скласти уявлення про зміст зберігаються в зашифрованому вигляді конфіденційних документів.

Важливо пам'ятати і про те, що при записі відредагованій інформації меншого обсягу в той же файл, де зберігалася початкова інформація до початку сеансу її редагування, утворюються так звані "хвостові" кластери, в яких ця вихідна інформація повністю зберігається. І тоді "хвостові" кластери не тільки не піддаються впливу програм шифрування, але і залишаються незачепленими навіть засобами гарантованого стирання інформації. Звичайно, рано чи пізно інформація з "хвостових" кластерів затирається даними з інших файлів, однак за оцінками фахівців ФАПСИ з "хвостових" кластерів через добу можна витягти до 85%, а через десять діб - до 25-40% вихідної інформації.

Користувачам необхідно мати на увазі й те, що команда видалення файлу (DEL) операційної системи DOS2 не змінює змісту файлу, і воно може бути в будь-який момент відновлено, якщо поверх нього ще не був записаний інший файл. Поширені кошти гарантованого стирання файлів попередньо записують на його місце константи або випадкові числа і тільки після цього видаляють файл стандартними засобами DOS. Однак навіть такі потужні засоби виявляються безсилими проти програмних закладок, які націлені на те, щоб збільшити кількість залишених у вигляді "сміття" фрагментів конфіденційної інформації. Наприклад, програмна закладка може ініціювати статичну помилку, помітивши один або кілька кластерів з ланцюжка, що входить в файл, міткою "збійні". В результаті при видаленні файла засобами операційної системи або засобами гарантованого знищення та його частина, яка розміщена в збійних кластерах, залишиться недоторканою і згодом може бути відновлена за допомогою стандартних утиліт.

Спостереження і компрометація

Крім перерахованих, існують і інші моделі впливу програмних закладок на комп'ютери. Зокрема, при використанні моделі типу спостереження програмна закладка вбудовується в мережеве або телекомунікаційне програмне забезпечення. Користуючись тим, що подібне програмне забезпечення завжди знаходиться в стані активності, запроваджена в нього програмна закладка може стежити за всіма процесами обробки інформації в комп'ютерній системі, а також здійснювати установку і видалення інших програмних закладок. Модель типу компрометація дозволяє отримувати доступ до інформації, перехопленої іншими програмними закладками. Наприклад, ініціюється постійне звернення до такої інформації, що приводить до зростання співвідношення сигнал / шум. А це, в свою чергу, значно полегшує перехоплення побічних випромінювань даної комп'ютерної системи і дозволяє ефективно виділяти сигнали, згенеровані закладкою типу "компрометація", із загального фону випромінювання, що виходить від устаткування.

2.3 Захист від програмних закладок

Завдання захисту від програмних закладок може розглядатися в трьох принципово різних варіантах:

* не допустити впровадження програмної закладки в комп'ютерну систему;

* виявити впроваджену програмну закладку;

* видалити впроваджену програмну закладку.

При розгляді цих варіантів вирішення завдання захисту від програмних закладок подібно з вирішенням проблеми захисту комп'ютерних систем від вірусів. Як і у випадку боротьби з вірусами, завдання вирішується за допомогою засобів контролю за цілісністю запускаються системних і прикладних програм, а також за цілісністю інформації, що зберігається в комп'ютерній системі і за критичними для функціонування системи подіями. Однак ці кошти дієвими тільки тоді, коли самі вони не схильні до впливу програмних закладок, які можуть:

* нав'язувати кінцеві результати контрольних перевірок;

* впливати на процес зчитування інформації та запуск програм, за якими здійснюється контроль;

* змінювати алгоритми функціонування засобів контролю.

При цьому надзвичайно важливо, щоб включення засобів контролю виконувалося до початку впливу програмної закладки або коли контроль здійснювався тільки з використанням програм управління, що знаходяться в ПЗУ комп'ютерної системи.

Захист від впровадження програмних закладок

Універсальним засобом захисту від впровадження програмних закладок є створення ізольованого комп'ютера. Комп'ютер називається ізольованим, якщо виконані наступні умови:

* в ньому встановлена система BIOS, що не містить програмних закладок;

* операційна система перевірена на наявність в ній закладок;

* достовірно встановлено незмінність BIOS і операційної системи для даного сеансу;

* на комп'ютері не запускалося і не запускається жодних інших програм, окрім вже пройшли перевірку на присутність в них закладок;

* виключений запуск перевірених програм у будь-яких інших умовах. крім перерахованих вище, тобто поза ізольованого комп'ютера.

Для визначення ступеня ізольованості комп'ютера може використовуватися модель ступеневої контролю. Спочатку перевіряється, чи немає змін в BIOS. Потім, якщо все в порядку, зчитується завантажувальний сектор диска і драйверів операційної системи, які, в свою чергу, також аналізуються на предмет внесення до них несанкціонованих змін. І нарешті, за допомогою операційної системи запускається драйвер контролю викликів програм, який стежить за тим, щоб в комп'ютері запускалися тільки перевірені програми.

Цікавий метод боротьби з впровадженням програмних закладок може бути використаний в інформаційній банківській системі, в якій циркулюють виключно файли-документи. Щоб не допустити проникнення програмної закладки через канали зв'язку, в цій системі не допускається прийняття ніякого виконуваного коду. Для розпізнавання подій типу "ОТРИМАНО виконуваний код" і "Отримати файл-ДОКУМЕНТ" застосовується контроль за наявністю у файлі заборонених символів: файл визнається містить виконуваний код, якщо в ньому присутні символи, які ніколи не зустрічаються в файлах-документах.

Виявлення впровадженої програмної закладки

Виявлення впровадженого коду програмної закладки полягає у виявленні ознак його присутності в комп'ютерній системі. Ці ознаки можна розділити на наступні два класи:

* якісні та візуальні;

* виявляються засобами тестування і діагностики.

До якісних і візуальним ознаками відносяться відчуття і спостереження користувача комп'ютерної системи, який відзначає певні відхилення в її роботі (змінюється склад і довжини файлів, старі файли кудись пропадають, а замість них з'являються нові, програми починають працювати повільніше, або закінчують свою роботу дуже швидко, або взагалі перестають запускатися). Незважаючи на те що судження про наявність ознак цього класу здається занадто суб'єктивним, проте, вони часто свідчать про наявність неполадок в комп'ютерній системі і, зокрема, про необхідність проведення додаткових перевірок присутності програмних закладок. Наприклад, користувачі пакету шифрування і цифровий підпис "Кріптоцентр" з деяких пір стали помічати, що цифровий підпис під електронними документами ставиться занадто швидко. Дослідження, проведене фахівцями ФАПСИ, показало присутність програмної закладки, робота якої грунтувалася на нав'язуванні довжини файлу. В іншому випадку тривогу забили користувачі пакета шифрування і цифровий підпис "Криптон", які з подивом відзначили, що швидкість шифрування за криптографічним алгоритмом ГОСТ 28147-89 раптом зросла більш, ніж в 30 разів. А в третьому випадку програмна закладка виявила свою присутність у програмі клавіатурного введення тим, що уражена нею програма перестала нормально працювати.

Ознаки, що виявляються за допомогою засобів тестування та діагностики, характерні як для програмних закладок, так і для комп'ютерних вірусів. Наприклад, завантажувальні закладки успішно виявляються антивірусними програмами, які сигналізують про наявність підозрілого коду в завантажувальному секторі диска. З ініціюванням статичної помилки на дисках добре справляється Disk Doctor, що входить в поширений комплект утиліт Norton Utilities. А засоби перевірки цілісності даних на диску типу Adinf дозволяють успішно виявляти зміни, що вносяться у файли програмними закладками. Крім того, ефективний пошук фрагментів коду програмних закладок за характерними для них послідовностей нулів та одиниць (сигнатурам), а також дозвіл виконанні тільки програм з відомими сигнатурами.

Видалення впровадженої програмної закладки

Конкретний спосіб видалення впровадженої програмної закладки залежить від методу її впровадження в комп'ютерну систему. Якщо це програмно-апаратна закладка, то слід перепрограмувати ПЗУ комп'ютера. Якщо це завантажувальна, драйверной, прикладна, замаскована закладка або закладка-імітатор, то можна замінити їх на відповідну завантажувальну запис, драйвер, утиліту, прикладну або службову програму, отриману від джерела, що заслуговує довіри. Нарешті, якщо це виконуваний програмний модуль, то можна спробувати добути його вихідний текст, прибрати з нього наявні закладки або підозрілі фрагменти, а потім заново відкомпілювати.

2.4 Троянські програми

Троянською програмою (троянцем, або троянським конем) називається:

* програма яка, будучи частиною іншої програми з відомими користувачеві функціями, здатна потай від нього виконувати деякі додаткові дії з метою заподіяння йому певної шкоди;

* програма з відомими її користувачеві функціями, в яку були внесені зміни, щоб, крім цих функцій, вона могла таємно від нього виконувати деякі інші (руйнівні) дії.

Таким чином, троянська програма - це особливий різновид програмної закладки. Вона додатково наділена функціями, про існування яких користувач навіть не підозрює. Коли троянська програма виконує ці функції, комп'ютерній системі наноситься певних збитків. Однак те, що за одних обставин завдає непоправної шкоди, при інших-може виявитися цілком корисним. Наприклад, програму, яка форматує жорсткий диск, не можна названий. троянської, якщо вона якраз і призначена для його форматування (як це робить команда format операційної системи DOS). Але якщо користувач, виконуючи деяку програму, зовсім не чекає, що вона відформатує його вінчестер, - це і є справжнісінький троянець.

Коротше кажучи, троянською можна вважати будь-яку програму, яка потай від користувача виконує якісь небажані для нього дії. Ці дії можуть бути будь-якими - від визначення реєстраційних номерів програмного забезпечення, встановленого на комп'ютері, до складання списку каталогів на його жорсткому диску. А сама троянська програма може маскуватися під текстовий редактор, під мережеву утиліту або будь-яку програму, яку користувач побажає встановити на свій комп'ютер.

Звідки беруться троянські програми

Троянська програма - це плід праці програміста. Ніяким іншим способом створити її неможливо. Програміст, що пише троянську програму, чудово усвідомлює, чого він хоче добитися, і у своїх намірах він завжди дуже далекий від альтруїзму.

Більшість троянських програм призначено для збору конфіденційної інформації. Їх завдання, частіше за все, полягає у виконанні дій, що дозволяють отримати доступ до даних, які не підлягають широкому розголосу. До таких даних відносяться користувача паролі, реєстраційні номери програм, відомості про банківські рахунки і т. д. Решта троянці створюються для заподіяння прямих збитків комп'ютерній системі, приводячи її у неробочий стан.

До останніх можна віднести, наприклад, троянську програму PC CYBORG, яка заманювала нічого не підозрюють користувачів обіцянками надати їм новітню інформацію про боротьбу з вірусом, що викликає синдром набутого імунодефіциту (СНІД). Проникнувши в комп'ютерну систему, PC CYBORG відраховувала 90 перезавантажень цієї системи, а потім ховала все каталоги на її жорсткому диску і шифрувати знаходяться там файли.

Інша троянська програма називалася AOLGOLD. Вона розсилалася по електронній пошті у вигляді заархівовані файли. У супровідному листі, що додається до цього файлу, йшлося про те, що AOLGOLD призначена для підвищення якості послуг, які надає своїм користувачам найбільший американський Internet-провайдер America Online (AOL). Архів складався з двох файлів, один з яких іменувався INSTALL.BAT. Користувач, що запустив INSTALL.BAT, ризикував стерти всі файли з каталогів С: \, C: \ DOS, C: \ WINDOWS і C: \ WINDOWS \ SYSTEM на своєму жорсткому диску.

Подібного роду троянські програми, як правило, створюються підлітками, які хоч і одержимі пристрастю до руйнування, але не мають глибоких пізнань в програмуванні і тому не можуть заподіяти істотної шкоди комп'ютерним системам, які зазнали нападу створених ними троянців. Наприклад, програма AOLGOLD прала себе з жорсткого диска, будучи запущена з будь-якого іншого дискового розділу за винятком С.

Інша справа - троянські програми, авторами яких є професійні програмісти, які займаються розробкою програмного забезпечення в солідних фірмах. Троянці, що входять до поширені комп'ютерні програми, утиліти та операційні системи, представляють значно більшу загрозу комп'ютерів, на яких вони встановлені. оскільки їх дії носять не деструктивний характер, а мають на меті збір конфіденційної інформації про систему. Виявити такі троянські програми вдається, як правило, чисто випадково. А оскільки програмне забезпечення, частиною якого вони є, в більшості випадків використовується не тільки якоїсь однієї компанією, закупити це програмне забезпечення, але також на великих Internet-серверах і, крім того, поширюється через Internet, наслідки можуть виявитися жахливими.

Трапляється й так, що троянці вбудовуються в деякі утиліти програмістами, не мають ніякого відношення до розробки цих утиліт. Па-приклад, в дистрибутив сканера SATAN, призначений для установки на комп'ютери з операційною системою Linux, що поширювався через Internet, потрапила троянська програма, яка "влаштувалася" в утиліті fping. При першому ж запуску модифікованої утиліти fping в файл / etc / passwd додавалася запис для користувача з ім'ям suser, який в результаті міг увійти в Linux і таємно отримати там повноваження адміністратора. Проте у автора цієї троянської програми були явні прогалини в комп'ютерній освіті. Зокрема, він не знав деяких нюансів зберігання паролів в операційних системах сімейства UNIX. В результаті файл / etc / passwd був відповідним чином змінений лише на двох комп'ютерах, на яких було встановлено цей зіпсований дистрибутив мережевого аналізатора SATAN для Linux.

Де живуть і як часто зустрічаються троянські програми

В даний час троянські програми можна відшукати практично де завгодно. Вони написані для всіх без винятку операційних систем і для будь-яких платформ. Не рахуючи випадків, коли троянські програми пишуться самими розробниками програмного забезпечення, троянці поширюються тим же способом, що і комп'ютерні віруси. Тому найбільш підозрілими на предмет присутності в них троянців, в першу чергу, є безкоштовні і умовно-безкоштовні програми, викачані з Internet, а також програмне забезпечення, яке розповсюджується на піратських компакт-дисках.

Наприклад, в січні 1999 р. було виявлено, що популярна утиліта TCP Wrapper, призначена для адміністрування UNIX-систем і безкоштовно розповсюджується через Internet, на багатьох ftp-сайтах була замінена зовні схожою на неї програмою, яка насправді була троянцем. Після інсталяції він відправляв електронною поштою на певних зовнішніх адресами, оповіщаючи свого господаря про успішне впровадження. Потім він чекав, поки буде встановлено віддалене з'єднання з портом 421 заражених їм комп'ютера, і надавав привілейовані права доступу через цей порт.

Інша троянська програма поширювалася серед користувачів AOL у вигляді вкладення до листа, що розсилаються по електронній пошті. Відкрили це вкладення заражали свій комп'ютер троянцем, який намагався знайти пароль для підключення до AOL і в разі успіху шифрував його. а потім відсилав електронною поштою кудись в Китай.

В даний час існує цілий ряд троянських програм, які можна абсолютно вільно завантажити, підключившись до глобальної комп'ютерної мережі Internet. Найбільшу популярність серед них отримали троянці Back Orifice, Net Bus і SubSeven. На Web-сайті групи розробників Back Orifice, яка іменує себе Cult of Dead Cow (Культ мертвої корови), можна навіть знайти з десяток постерів, які призначені для реклами її останньої розробки - троянця Back Orifice 2000.

Таким чином, троянські програми зустрічаються досить часто і, отже, представляють серйозну загрозу безпеці комп'ютерних систем. Навіть після того як троянська програма виявлена, її шкідливий вплив на комп'ютерну систему може відчуватися ще протягом дуже тривалого часу. Адже найчастіше ніхто не може з упевненістю сказати, наскільки сильно постраждала комп'ютерна система в результаті проникнення в неї троянської програми.

Справа в тому, що більшість троянців є частиною інших програм, які зберігаються в комп'ютері в відкомпілювався вигляді. Текст цих програм являє собою послідовність команд на машинній мові, що складається з нулів і одиниць. Рядовий користувач, як правило, не має ні найменшого поняття про внутрішню структуру таких програм. Він просто запускає їх на виконання шляхом завдання імені відповідної програми в командному рядку або подвійним клацанням на імені її файлу.

Коли з'ясовується, що в якусь скомпільованій проник троянець, в мережі Internet негайно починають поширюватися бюлетені з інформацією про виявлений троянця. Найчастіше в цих бюлетенях коротко повідомляється про те, якої шкоди може завдати даний троянець і де можна знайти заміну ураженої троянцем програмі.

Іноді шкоду, яка може нанести троянець, оцінити досить легко. Наприклад, якщо він призначений для пересилання по електронній пошті вмісту файлу / etc / passwd, в якому операційні системи сімейства UNIX зберігають інформацію про користувача паролі, достатньо встановити "чисту" версію програми замість тієї, в якій влаштувався цей троянець. Потім користувачі повинні будуть відновити свої паролі, і на цьому боротьба з ним успішно завершується.

Однак далеко не завжди ступінь компрометації комп'ютерної системи, в якій оселилася троянська програма, буває так легко визначити. Припустимо, що мета впровадження троянця полягає у створенні діри в захисних механізмах комп'ютерної системи, через яку зловмисник зможе, наприклад, проникати в неї, маючи адміністраторські повноваження. І якщо зломщик виявиться достатньо хитрим і кмітливим, щоб замести сліди своєї присутності в системі шляхом внесення відповідних змін до реєстраційних файли, то визначити, наскільки глибоко він проник крізь системні захисні механізми, буде майже неможливо, якщо врахувати ще той факт, що саму троянську програму виявлять лише кілька місяців після її впровадження в комп'ютерну систему. У цьому випадку може знадобитися цілком перевстановити операційну систему і всі програми.

Як розпізнати троянську програму

більшість програмних засобів, призначених для захисту від троянських програм, в тій чи іншій мірі використовує так зване узгодження об'єктів. При цьому в якості об'єктів фігурують файли і каталоги, а узгодження є спосіб відповісти на питання. чи змінилися файли і каталоги з моменту останньої перевірки. У ході узгодження характеристики об'єктів порівнюються з характеристиками. якими вони володіли раніше. Береться, наприклад, архівна копія системного файлу і її атрибути порівнюються з атрибутами цього файлу, який зараз знаходиться на жорсткому диску. Якщо атрибути розрізняються і ніяких змін в операційну систему не вносилося, значить в комп'ютер, швидше за все, проник троянець.

Одним з атрибутів будь-якого файлу є відмітка про час його останньої модифікації: щоразу, коли файл відкривається, змінюється і зберігається на диску, автоматично вносяться відповідні поправки. Однак позначка часу не може служити надійним індикатором наявності в системі троянця. Справа в тому, що нею дуже легко маніпулювати. Можна підкрутити тому системний годинник, внести зміни в файл, потім знову повернути годинник в початковий стан, і відмітка про час модифікації файлу залишиться незмінною.

Може бути, інакше йде справа з розміром файлу? Аж ніяк. Нерідко текстовий файл, який спочатку займав, скажімо, 8 Кбайт дискового простору, після редагування та збереження має той самий розмір. Трохи інакше поводяться виконавчі файли. Вкласти в чужу програму фрагмент власного коду так, щоб вона не втратила працездатності і в відкомпілювався вигляді зберегла свій розмір, досить непросто. Тому розмір файлу є більш надійним показником, ніж відмітка про час внесення до нього останніх змін.

Зловмисник, який вирішив запустити в комп'ютер троянця, зазвичай намагається зробити його частиною системного файлу. Такі файли входять в дистрибутив операційної системи та їх присутність на будь-якому комп'ютері, де ця операційна система встановлена, не викликає жодних підозр. Проте будь-який системний файл має цілком певну довжину. Якщо цей атрибут буде якимось чином змінений, це стривожить користувача.

Знаючи це, зловмисник постарається дістати вихідний текст відповідної програми і уважно проаналізує його на предмет присутності в ньому надлишкових елементів, які можуть бути видалені без жодного відчутного збитку. Тоді замість знайдених надлишкових елементів він вставить у програму свого троянця і перекомпілюється її заново. Якщо розмір отриманого двійкового файлу виявиться менше або більше розміру початкового, процедура повторюється. І так до тих пір, поки не буде отриманий файл, розмір якого найбільшою мірою близький до оригіналу (якщо вихідний файл досить великий, цей процес може розтягнутися на кілька днів).

Отже, у боротьбі з троянцями покластися на відмітку про час останньої модифікації файлу і його розмір не можна, оскільки зловмисник може їх досить легко підробити. Більш надійною в цьому відношенні є так звана контрольна сума файлу. Для її підрахунку елементи файлу підсумовуються, і вийшло в результаті число оголошується його контрольною сумою. Наприклад, в операційній системі SunOS існує спеціальна утиліта sum, яка виводить на пристрій стандартного висновку STDOUT контрольну суму файлів, перелічених у рядку аргументів цієї утиліти.

Однак і контрольну суму в загальному випадку виявляється не так вже й важко підробити. Тому для перевірки цілісності файлової системи комп'ютера використовується особливий різновид алгоритму обчислення контрольної суми, звана одностороннім хешем.

Функція хешування називається односторонньою, якщо завдання відшукання двох аргументів, для яких її значення збігаються, є труднорешаемой. Звідси випливає, що функція одностороннього хешування може бути застосована для того, щоб відстежувати зміни, внесені зловмисником у файлову систему комп'ютера, оскільки спроба зловмисника змінити будь-який файл так, щоб значення, отримане шляхом одностороннього хешування цього файлу, залишилося незмінним, приречена на невдачу.

Історично склалося так, що більшість утиліт, що дозволяють боротися з проникненням в комп'ютерну систему троянських програм шляхом односпрямованого хешування файлів, було створено для операційних систем сімейства UNIX. Однією з найбільш зручних в експлуатації і ефективних є утиліта Trip Wire, яку можна знайти в Internet за адресою http://www.tripwiresecurity.com/. Вона дозволяє робити односпрямоване хешування файлів за допомогою декількох алгоритмів, в тому числі - MD43, MD54 і SHA5. Обчислені хеш-значення файлів зберігаються в спеціальній базі даних, яка, в принципі, є найбільш уразливим ланкою \ утиліти TripWire. Тому користувачам TripWire пропонується в обов'язковому порядку приймати додаткові заходи захисту, щоб виключити доступ до цієї бази даних з боку зловмисника (наприклад, поміщати її на знімному носії, призначеному тільки для читання).

Засоби боротьби з троянцями в операційних системах сімейства Windows (95/98/NT) традиційно є частиною їх антивірусного програмного забезпечення. Тому, щоб відловлювати Back Orifice, Net Bus, SubSeven та інші подібні до них троянські програми, необхідно обзавестися найсучаснішим антивірусом (наприклад, програмою Norton Anuvirus 2000 компанії Symantec, яка дозволяє виявляти присутність в комп'ютерній системі найбільш поширених троянців і позбуватися від них). Слід регулярно перевіряти свій комп'ютер на присутність в ньому вірусів.

Тим, хто хоче мати в своєму розпорядженні утиліту, призначену саме для виявлення троянців в комп'ютерах, що працюють під управлінням операційних систем сімейства Windows, можна порадити звернути свої погляди на програму The Cleaner компанії MooSoft Development (http://www.homestead.com/ moosoft / cleaner.html) Ця утиліта може бути з успіхом використана для боротьби з більш ніж чотирма десятками різновидів троянських програм.

Огляд засобів боротьби з троянськими програмами був би далеко не повним, якщо обійти увагою нещодавно з'явилися на ринку програмні пакети, призначені для комплексної захисту від загроз, з якими стикаються користувачі настільних комп'ютерів при роботі в Internet. Одним з таких пакетів є eSafe Protect компанії Aladdin Knowledge Systems (демонстраційну версію eSafe Protect можна знайти в Internet no адресою www.esafe.com).

Функціонально eSafe Protect ділиться на три компоненти - антивірус, персональний брандмауер і модуль захисту комп'ютерних ресурсів. Антивірус позбавляє комп'ютер від шкідливих програм завдяки застосуванню антивірусного модуля VisuSafe, сертифікованого американським Національним агентством комп'ютерної безпеки. Персональний брандмауер контролює весь вхідний і вихідний трафік по протоколу TCP / IP, наділяючи використовуються IP-адреси певними правами (наприклад, обмежуючи доступ в Internet в певні години або забороняючи відвідини деяких Web-сайтів).

Для захисту ресурсів комп'ютера, на якому встановлений програмний пакет eSafe Protect, створюється спеціальна ізольована область - так звана пісочниця. Всі автоматично завантажуються з Internet Java-аплсти і компоненти ActiveX спочатку поміщаються в "пісочницю", де вони знаходяться під невсипущим наглядом eSafe Protect. Якщо потрапила в "пісочницю" програма спробує виконати будь-яке недозволене дію, то воно буде негайно блоковано. Протягом заданого інтервалу часу (від 1 до 30 днів) кожен додаток, завантажене в комп'ютер з Internet. проходить "карантинну" перевірку в "пісочниці". Отримана в холі такої перевірки інформація заноситься в особливий журнал. Після закінчення "карантину" додаток буде виконуватися поза "пісочниці", проте йому будуть дозволені тільки ті дії, перелік яких визначається на основі наявних журнальних записів.

Таким чином, у порівнянні з іншими подібними програмними пакетами eSafe Protect забезпечує найбільш розвинені і ефективні засоби комплексної зашиті від троянських програм. Вхідний до складу eSafe Protect антивірус допомагає швидко виявляти троянців і розправлятися з ними, використовуючи технології, які добре зарекомендували себе при боротьбі з вірусами. Персональний брандмауер блокує будь-які спроби зв'язатися ззовні з проникли в комп'ютерну систему троянськими програмами. І нарешті з допомогою "пісочниці" своєчасно запобігає впровадження троянців в комп'ютери під виглядом Java-аплетів і компонентів ActiveX.

2.5 Клавіатурні шпигуни

Одна з найбільш поширених різновидів програмних закладок - клавіатурні шпигуни. Такі програмні закладки націлені на перехоплення паролів користувачів операційної системи, а також на визначення їх легальних повноважень і прав доступу до комп'ютерних ресурсів.

Клавіатурні шпигуни - явище зовсім не нове в світі комп'ютерів. Свого часу вони розроблялися і для OS/370, і для UNIX, і для DOS. Їх поведінка в загальному випадку є досить традиційним: типовий клавіатурний шпигун обманним шляхом заволодіває користувацькими паролями, а потім переписує ці паролі туди, звідки їх може без особливих зусиль витягти зловмисник. Відмінності між клавіатурними шпигунами стосуються тільки способу, який застосовується ними для перехоплення призначених для користувача паролів. Відповідно всі клавіатурні шпигуни поділяються на три типи - імітатори, фільтри та заступники.

Імітатори

Клавіатурні шпигуни цього типу працюють за наступним алгоритмом. Зловмисник впроваджує в операційну систему програмний модуль, що імітує запрошення користувачеві зареєструватися для того, щоб увійти в систему. Потім впроваджений модуль (у прийнятій термінології - імітатор) переходить в режим очікування введення користувацького ідентифікатора і пароля. Після того як користувач ідентифікує себе і введе свій пароль, імітатор зберігає ці дані там, де вони доступні зловмисникові. Далі імітатор ініціює вихід із системи (що в більшості випадків можна зробити програмним шляхом), і в результаті перед очима у нічого не підозрює користувача з'являється сто одне, але на цей раз вже справжнє запрошення для входу в систему.

Обдурений користувач, бачачи, що йому пропонується ще раз внести пароль. приходить до висновку про те, що він допустив якусь помилку під час попереднього введення пароля, і слухняно повторює всю процедуру входь в систему заново. Деякі імітатори для переконливості видають на екран монітора правдоподібне повідомлення про нібито досконалої користувачем помилково. Наприклад, таке: "НЕВІРНИЙ ПАРОЛЬ. СПРОБУЙТЕ ЩЕ РАЗ".

Написання імітатора не вимагає від його творця будь-яких особливих навичок. Зловмиснику, який вміє програмувати на одному з універсальних мов програмування (наприклад, на мові BASIC), знадобляться на це лічені години. Єдина складність, з якою він може зіткнутися, полягає в тому, щоб відшукати в документації відповідну програмну функцію, що реалізує вихід користувача з системи.

Перехоплення пароля часто полегшують самі розробники операційних систем, які не ускладнюють себе створенням ускладнених за формою запрошень користувачеві зареєструватися для входу в систему. Подібне зневажливе ставлення характерно для більшості версій операційної системи UNIX, в яких реєстраційне запрошення складається з двох текстових рядків, які видаються по черзі на екран термінала:

login:

password:

Щоб підробити таке запрошення, не потрібно бути семи п'ядей у лобі. Однак саме по собі ускладнення зовнішнього вигляду запрошення не створює для хакера, який задумав впровадити в операційну систему імітатор, яких-небудь непереборних перешкод. Для цього потрібно вдатися до більш складних і витонченим заходам захисту. Як приклад операційної системи, в якій такі заходи у досить повному обсязі реалізовані на практиці, можна привести Windows NT.

Системний процес WinLogon, що відповідає в операційній системі Windows NT за аутентифікацію користувачів, має свій власний робочий стіл - сукупність вікон, одночасно видимих на екрані дисплея. Цей робочий стіл називається столом аутентифікації. Ніякий інший Процес, в тому числі і імітатор, не має доступу до робочого столу аутентифікації і не може розташувати на ньому своє вікно.

Після запуску Windows NT на екрані комп'ютера виникає так зване початкове вікно робочого столу аутентифікації, що містить вказівку натиснути на клавіатурі клавіші <Ctrl> + <Alt> + <Del>. Повідомлення про натискання цих клавіш передається тільки системному процесу WinLogon, а для інших процесів, зокрема, для всіх прикладних програм, їх натискання відбувається абсолютно непомітно. Далі виробляється перемикання на інше, так зване реєстраційне вікно робочого столу аутентифікації. У ньому-то якраз і розміщується запрошення користувачеві ввести своє ідентифікаційне ім'я та пароль, які будуть сприйняті і перевірені процесом WinLogon.

Для перехоплення користувацького пароля впроваджений в Windows NT імітатор обов'язково повинен вміти обробляти натискання користувачем клавіш <Ctrl> + <Alt> + <Del>. В іншому випадку відбудеться переключення на реєстраційне вікно робочого столу аутентифікації, імітатор стане неактивним і не зможе нічого перехопити, оскільки всі символи пароля, введені користувачем, минуть імітатор і стануть надбанням виключно системного процесу WinLogon. Як вже говорилося, процедура реєстрації в Windows NT влаштована таким чином, що натискання клавіш <Ctrl> + <Alt> + <Del> проходить безслідно для всіх процесів, крім WinLogon, і тому для користувача пароль надійде саме йому.

Звичайно, імітатор може спробувати відтворити не початкове вікно робочого столу аутентифікації (в якому висвічується вказівку користувачеві одночасно натиснути клавіші <Ctrl> + <Alt> + <Del>), а реєстраційне (де міститься запрошення ввести ідентифікаційне ім'я та пароль користувача). Однак за відсутності імітаторів в системі реєстраційне вікно автоматично замінюється на початкове після короткого проміжку часу (залежно від версії Window NT він може тривати від 30 с до 1 хв.), якщо протягом цього проміжку користувач не робить ніяких спроб зареєструватися в системі. Таким чином, сам факт занадто довгої присутності на екрані реєстраційного вікна повинен насторожити користувача Windows NT і змусити його ретельно перевірити свою комп'ютерну систему на предмет наявності в ній програмних закладок.

Підводячи підсумок сказаному, можна відзначити, що ступінь захищеності Windows NT від імітаторів досить висока. Розгляд захисних механізмів, реалізованих в цій операційній системі, дозволяє сформулювати дві необхідні умови, дотримання яких є обов'язковим для забезпечення надійного захисту від імітаторів:

* системний процес, який при вході користувача в систему отримує від нього відповідні реєстраційне ім'я і пароль, повинен мати свій власний робочий стіл, недоступний іншим процесам;

* переключення на реєстраційне вікно робочого столу аутентифікації має відбуватися абсолютно непомітно для прикладних програм, які до того ж ніяк не можуть вплинути на це переключення (наприклад, заборонити його).

На жаль, ці дві умови ні в одній з операційних систем, за винятком Windows NT, не дотримуються. Тому для підвищення їх захищеності від імітаторів можна порекомендувати скористатися адміністративними заходами. Наприклад, зобов'язати кожного користувача негайно повідомляти системного адміністратора, коли вхід в систему виявляється неможливий з першого разу, незважаючи на коректно задане ідентифікаційне ім'я та правильно набраний пароль. Фільтри

Фільтри "полюють" за всіма даними, які користувач операційної системи вводить з клавіатури комп'ютера. Самі елементарні фільтри просто скидають перехоплений клавіатурний ввід на жорсткий диск або в якесь інше місце, до якого має доступ зловмисник. Більш, витончені програмні закладки цього типу піддають перехоплені дані аналізу і фільтрують інформацію, що має відношення до призначених для користувача паролів.

Фільтри є резидентними програмами, перехоплювачем одне або декілька переривань, які пов'язані з обробкою сигналів від клавіатури. Ці переривання повертають інформацію про самій клавіші і введеному символі, що аналізується фільтрами на предмет виявлення даних, що мають відношення до пароля користувача.

...