Современные угрозы информационной безопасности и тенденции развития вредоносного программного обеспечения

Размещено на http://www.allbest.ru/

УДК 004.056.57

СОВРЕМЕННЫЕ УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И ТЕНДЕНЦИИ РАЗВИТИЯ ВРЕДОНОСНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

Д.И. Копелиович

О.И. Зыков

Д.Е. Морякин

Рассмотрены современные угрозы компьютерной безопасности, тенденции развития вредоносного программного обеспечения, методы эффективного анализа и обнаружения вирусов и иных вредоносных программ.

В настоящее время жизнеспособность различных систем (от технологических процессов до бизнес-процедур) напрямую зависит от бесперебойной работы компьютерных сетей, программного и аппаратного обеспечения. Отказ одного небольшого звена какой-либо технологической цепочки может привести к непредсказуемым последствиям -- примеров этому более чем достаточно. Фактически во многих случаях пользователи, благодаря сети Интернет связанные единым коммуникационным пространством, оказываются «заложниками» современных технологий, зачастую не понимая того, что эти технологии не являются в достаточной мере защищенными от вирусных и/или хакерских атак. Работоспособность систем напрямую зависит от эпидемиологической ситуации в компьютерном мире в данный момент времени, которая к тому же может измениться в любую минуту, как это уже происходило неоднократно. Что именно и каким образом происходит в современных компьютерных сетях, что угрожает нам в ближайшей перспективе - ответы на эти и некоторые другие вопросы приведены в данной статье.

Компьютерные вирусы, сетевые черви, троянские программы и хакерские атаки давно перестали ассоциироваться с фантастическими боевиками голливудского производства. Компьютерная фауна, хулиганство и преступления - сейчас это обыденные явления, с которыми регулярно сталкиваются пользователи современных компьютерных систем. Предупреждения о новых эпидемиях компьютерных червей и громкие хакерские атаки - уже не редкость в программах новостей на ТВ и радио, а использование средств защиты стало стандартом компьютерной гигиены.

10 лет назад львиную долю всех вирусов и прочих вредоносных программ создавали школьники и студенты, для развлечения, потакая желанию самоутвердиться на основе достигнутого интеллектуального уровня или подражая своим кумирам, таким как Кевин Митник. Однако развитие систем электронной коммерции привлекло к созданию вредоносного программного обеспечения внимание преступного сообщества, для которого это уже не бессмысленное мелкое хулиганство, а способ зарабатывать большие деньги криминальным путем. Так появился новый вид преступности - кибер-преступность.

В 1995 г. 70 % вирусов были написаны хулиганами, а 30 % - мошенниками, в 2004 г.- только 10 % созданы хулиганами, а 60 % - мошенниками и 30 % - кибер-преступниками. В 2005 г., по словам Евгения Касперского [1], руководителя антивирусных исследований «Лаборатории Касперского», доля вредоносных программ, созданных кибер-преступниками, достигла уже 75 %. Ущерб, наносимый вредоносными программами весьма и весьма велик. Так, по данным «Computer Economics», в 2004 г. вредоносные программы нанесли макроэкономике ущерб в 18 млрд долл. И прежде всего эта тотальная криминализация Интернета направлена против корпоративных ИТ-ресурсов [3].

На рис. 1 наглядно представлена тенденция криминализации Интернета за последние 15 лет.

То и дело приходят сведения о группах хакеров, которые сумели снять десятки миллионов долларов с банковских счетов. Разрабатываются даже специальные троянские программы для атаки конкретных бизнес-процессов.

Злоумышленники знают, что любая сеть защищена антивирусами, и с учетом наличия антивирусов создают вирусы, способные «пробить» эту защиту. Причем миллионы компьютеров для подобных атак не нужны, достаточно всего нескольких тысяч. Для этих целей создаются так называемые зомби-сети из зараженных компьютеров, которые по команде их владельцев в определенное время атакуют указанный ресурс.

Пользователь зараженного компьютера, как правило, и не подозревает, что от его имени совершаются противоправные действия. Таким образом, жертвой кибер-преступников или их невольным сообщником может стать любой из нас. Однако большинство пользователей, получающих от СМИ довольно поверхностную и зачастую искаженную информацию о совершенных преступлениях, относятся к ней несерьезно и не уделяют должного внимания вопросам информационной безопасности. А ведь последствия такого отношения могут быть самыми серьезными.

Далее приведена классификация современного вредоносного ПO по следующим трем признакам:

· поведение;

· среда обитания;

· методы проникновения.

1. Поведение. Однозначно вредные программы, само существование которых представляет реальную угрозу для функционирования компьютерных систем и данных, хранящихся и обрабатывающихся на зараженном компьютере:

· вирусы, заражающие исполняемые файлы операционных систем;

· сетевые черви, распространяющие себя по сети от одного компьютера к другому;

· деструктивные троянские программы, целенаправленно уничтожающие или изменяющие содержимое различных файлов;

· «трояны-бекдоры» (хакерские системы администрирования), предоставляющие хакеру практически полный контроль над компьютером-жертвой;

· «трояны-шпионы», следящие за действиями пользователя на компьютере (какие приложения запускаются, какой текст вводится при различных запросах этих приложений и т.п.);

· «трояны-воры», отсылающие с зараженного компьютера различную информацию;

· сетевые хакерские пакеты, предназначенные для «взлома» атакуемых систем.

Нежелательные программы, которые непосредственной угрозы для компьютера не несут, однако используют ресурсы компьютера в чужих интересах, раздражают пользователя невостребованным сервисом, либо совершают подобные (достаточно безвредные, но нежелательные) действия:

· «порно-диалеры» (от «porno dialers»), настойчиво предлагающие пользователю посетить какой-либо платный порно-ресурс;

· «кликеры» (от «сlicker»), накручивающие счетчики на различных web-ресурсах;

· «адвертайзеры» (от «advertizer»), прямо или косвенно рекламирующие различные товары или услуги;

· «злые шутки», сообщающие о каких-либо нежелательных для пользователя действиях (например, об успешном завершении форматирования диска).

Всё чаще и чаще для атак хакерами используются различные утилиты из категории так называемого «рискованного» программного обеспечения, т.е. легального программного обеспечения, разработанного в благих целях, но используемого хакерами в «троянском режиме». Так, вполне легальная утилита удаленного администрирования становится полноценным «бекдор-троянцем» в том случае, если она визуально незаметна, снабжена инсталлятором, который прячет эту утилиту в каталогах Windows и скрывает её в списке активных приложений.

К категории «рискованного» ПО относятся:

· утилиты удаленного сетевого администрирования, т.е. утилиты сетевого управления;

· различные серверы (FTP, Proxy и т.д.), т.е. утилиты предоставления сетевого сервиса;

· IRC-клиенты, т.е. утилиты использования сетевого сервиса;

· утилиты работы с сетевыми ресурсами (например, запуск файлов в сети) и т.д.

2. Среда обитания. Всё разнообразие современного вредоносного ПО существует в совершенно различных операционных средах: в операционных системах, программных комплексах и утилитах, достаточно сложных для того, чтобы являться средой обитания. «Инфицированные» места обитания делятся на следующие категории:

1. Операционные системы в их современном понимании, предназначенные для запуска различных файлов/приложений либо функционально допускающие запуск сервисных приложений (скрипт-программ, макросов) с целью автоматизации обработки информации или организации разных процессов:

· Windows, Linux, Palm OS и т.д., т.е. операционные системы;

· различные офисные программы (например, MS Office) и системы хранения и обработки информации (SQL, 1C-Бухгалтерия и т.д.), использующие встроенные скрипт-языки (макросы);

· независимые скрипт-языки, такие как JavaScript, PHP, Perl и т.п.

2. Сетевые приложения, достаточно сложные для того, чтобы располагать функциональными возможностями, необходимыми для размножения вируса или существования троянских программ:

· почтовые системы и интернет-навигаторы, использующие встроенные скрипт-языки;

· сетевые игры, сетевые пейджеры и т.п. (вредного программного обеспечения, предназначенного для подобного ПО, пока не обнаружено, но теоретически оно возможно).

3. Несетевые приложения, которые возможно использовать для распространения вируса, троянской программы или для реализации хакерской атаки:

· вспомогательные утилиты операционных систем (например, скрипты в help-файлах MS Windows);

· независимые утилиты, имеющие достаточную сложность (архиваторы, медиа-программы и т.д.).

4. Мобильные устройства (карманные переносные компьютеры и смартфоны). Пока для масштабного воровства информации и мошенничества мобильных устройств количественно еще недостаточно. Но как только смартфонами будут пользоваться не несколько процентов всех пользователей мобильных телефонов, а половина, нас ждут и кражи конфиденциальной информации, и спам, и прочие традиционные элементы ИТ-криминала. Более того, по мнению Евгения Касперского [1], ситуация будет намного хуже нынешней: хотя пользователей компьютеров много, они все-таки в основной массе понимают необходимость защиты от вирусов, а в корпоративном секторе этими вопросами озабочены соответствующие технические службы. В то же время КПК и смартфонами, как и мобильными телефонами, будут пользоваться гораздо более массово самые неискушенные пользователи.

3. Методы проникновения делятся на три типа:

1. Ошибки (дыры) в системах безопасности различного программного обеспечения (от операционных систем до медиа-плееров). В результате данных ошибок появляется возможность либо заставить программу выполнять действия, для которых она не предназначена, либо внедрить в неё вредный программный код и активизировать его. К таким ошибкам относятся: вредоносный программный вирус хакерский

· переполнение буфера (buffer overrun), который активно используется так называемыми «бестелесными червями» и некоторыми троянскими программами (код червя или «троянца» попадает непосредственно в активный процесс атакуемого приложения и немедленно активизируется);

· некорректная обработка файлов и файловых ассоциаций (например, возможность автоматического запуска вложения из зараженного письма или web-страницы);

· некорректная обработка запросов «логин-пароль» для открытия полного доступа к сетевому ресурсу, вследствие которой подключение к ресурсу происходит в результате перебора ограниченного количества вариантов запроса;

· некорректная обработка многократных запросов на запуск подозрительных программ (в какой-то момент система защиты не может выделить дополнительную память для вывода запроса и пропускает команду запуска файла-вложения, очевидно, вредного толка) и т.д.

2. Документированные особенности программных комплексов и утилит достаточной сложности. Известны случаи, когда для автоматического запуска деструктивного кода без какой-либо реакции встроенных систем защиты использовались методы, документированные в руководстве пользователя данного программного продукта, например:

· функция CALL в MS Excel (до MS Office 97), позволяющая выполнять любые функции Windows API без какого-либо предупреждения, при этом вызов идет напрямую из ячейки (не из макропроцедуры);

· распаковка файлов из архива не в текущий каталог, а в каталог, указанный в самом архиве (например, в каталог автостарта Windows) и т.п.

3. Человеческий фактор. Как известно, человек является самым уязвимым звеном в цепочке любой безопасности. По этой причине человеческий фактор эксплуатируется различными червями, вирусами и троянскими программами чаще, чем перечисленные выше ошибки и особенности программного обеспечения, например:

· различные почтовые черви используют разнообразные приёмы для того, чтобы подтолкнуть пользователя к запуску (открытию) вложения (завлекательный или неожиданный текст письма, маскировка под официальную рассылку, подстановка имени вложения в безопасное и т.п.);

· ошибки администраторов сетей также часто приводят к распространению вирусных эпидемий в пределах сети организации;

· невнимательность пользователей становится первопричиной вирусных эпидемий в сети организации (при условии нерадивости администратора сети) и т.д.

На основе приведенных данных можно сделать следующие выводы:

1. Насчитывается уже около двух десятков различных по поведению вредоносных программ. Для сравнения: 10-15 лет назад, в начале 90-х гг., было известно всего два вида вредоносного ПО - вирус и несколько деструктивных троянских программ.

2. Если сравнить текущий момент с ситуацией 10-летней давности, можно обнаружить, что на смену всего двум средам обитания (загрузочные вирусы и DOS-вирусы) пришли несколько десятков разнообразных «экологических ниш», вполне подходящих для бурного развития «компьютерной нечисти». Естественно, что при этом не принимаются во внимание практически вымершие типы вирусов (так, в 1993 г., помимо DOS-вирусов, существовали уже раритетные вирусы для Apple-II, Commodore и UNIX-систем).

3. Многократно увеличилось и количество способов проникновения.

Таким образом, складывается вполне четкая картина плачевной ситуации в области информационной безопасности. Тенденции развития вредоносного ПО неутешительны.

Количество различных стратегий поведения вредоносных программ будет и дальше расти в соответствии с ростом числа сервисов, предоставляемых современными глобальными сетями и приложениями; появление новых недостаточно безопасных операционных систем и достаточно сложных приложений (включая КПК, мобильные телефоны и компьютеризируемую бытовую технику) неизбежно повлечет за собой увеличение мест обитания; хакеры и «вирусописатели», безусловно, будут разрабатывать и реализовывать новые методы проникновения.

Особо следует отметить возможность самых различных комбинаций стратегий поведения, мест обитания и методов проникновения в отдельно взятом экземпляре вредного ПО: червь, использующий несколько методов проникновения (рассылающий себя по почте, копирующийся на сетевые ресурсы, атакующий какое-либо серверное ПО), или вирус, заражающий файлы разных операционных систем (например, Pelf, заражающий выполняемые файлы Windows и Linux). При этом отдельные вирусные ветки в конкретном экземпляре могут иметь разные скорости распространения.

На данный момент антивирусные компании и эксперты сталкиваются со следующими проблемами:

1. Непредсказуемость появления комбинаций известных и возникновения совершенно новых стратегий поведения, мест обитания и методов проникновения, поскольку количество теоретически возможных подобных вариаций значительно превышает ресурсы антивирусных компаний. Невозможно закрыть все уязвимые места, которые могут использоваться вирусами и троянскими программами в современных компьютерных системах. Таким образом, производители антивирусного ПО:

· должны иметь специалистов, которые разбираются во всех тонкостях всего существующего ПО;

· в связи с множественностью вероятных вариантов не могут предсказать конкретное место, время и характеристики следующего вирусного удара.

2. Возможность появления новых «мгновенных» вирусов, заражающих глобальные мировые сети за считанные минуты. Антивирусные компании просто не в состоянии обеспечить своевременную защиту от подобных вирусов, поскольку анализом новых вирусов и разработкой антивирусных процедур занимаются антивирусные эксперты (люди), а вирус распространяется со скоростью современных компьютерных сетей (машин).

Что значит все это для мировой экономики и мирового порядка в целом? Насколько серьезны угрозы? В последнее время общемировой ущерб от вирусных эпидемий составляет около 20 миллиардов долларов.

Не следует также забывать и о такой глобальной угрозе, как терроризм. На данный момент в руках международных террористических группировок сосредоточены немалые ресурсы, и они вполне способны устроить беспрецедентную атаку на Интернет, вызвать сбои в системах крупнейших экономических и финансовых центров планеты, нарушить работу электросетей, водопровода, промышленных предприятий. Последствия террористической атаки в Интернете непредсказуемы.

Таким образом, можно сделать вывод, что современное вредоносное ПО довольно разнородно и создание подобных «продуктов» поставлено на поток. А что способна противопоставить этому современная антивирусная индустрия? Какова методика исследования вредоносного ПО и насколько она надежда?

Существует несколько подходов к исследованию и обнаружению вирусов.

1. Обнаружение, основанное на сигнатурах, - метод работы антивирусов и систем обнаружения вторжений, при котором программа-антивирус, просматривая файл или пакет, обращается к базе данных, содержащей образцы кода, взятые из исследованных аналитиками вирусов. В случае соответствия какого-либо участка кода просматриваемой программы известному коду (сигнатуре) вируса в базе программа-антивирус может:

1. Удалить «инфицированный» файл.

2. Отправить файл в «карантин» (сделать его недоступным для выполнения с целью недопущения дальнейшего распространения вируса).

3. Попытаться восстановить файл, удалив из него вирус, «вылечить» его.

Для достижения достаточно продолжительного успеха при использовании этого метода необходимо периодически пополнять базу известных вирусов новыми сигнатурами.

Сигнатуры антивирусов создаются в результате кропотливого анализа нескольких копий файла, принадлежащего одному вирусу. Сигнатура должна содержать только уникальные строки из этого файла, настолько характерные, чтобы гарантировать минимальную возможность ложного срабатывания.

Приведем пример работы антивирусного аналитика на основе разбора простейшего скриптового вируса:

1. Файл с вирусом загружается в специальный редактор, позволяющий выбирать и редактировать сигнатуры. Сигнатуры генерируются автоматически на основе некоторых принятых правил.

2. Код вируса просматривается на предмет наличия оригинальных конструкций (нестандартных выражений, которые с определенной долей вероятности не будут повторяться в других вирусах).

3. Выбираются сигнатуры (рис. 2) (обычно не более трех во избежание излишней громоздкости). При этом, с учетом возможности полиморфизма вируса, имена переменных и функций указываются не буквально, а формально. Следовательно, сканер, просматривая модификацию вируса с измененными именами функций и переменных, будет ориентироваться на положение этих токенов (токен - синтаксический элемент сигнатуры) в тексте. Таким образом, вероятность обнаружения становится выше.

4. Генерируется специальный файл описания на основе xml, содержащий необходимую и достаточную информацию для обнаружения вредоносного объекта.

5. Сгенерированный файл описания загружается в базу данных антивирусной программы.

К достоинствам сигнатурного метода следует отнести способность определить конкретную атаку с высокой точностью и малой долей ложных вызовов.

Недостатками метода являются:

· неспособность выявить какие-либо новые атаки;

· необходимость регулярного и крайне оперативного обновления;

· необходимость кропотливого ручного анализа вирусов.

2. Обнаружение аномалий поведения программы - динамический метод работы антивирусов, хостовых и сетевых систем обнаружения вторжений. Программа, использующая этот метод, наблюдает определённые действия (работу программы/процесса, сетевой трафик, работу пользователя), следя за возможными необычными и подозрительными событиями или тенденциями.

Антивирусы, использующие метод обнаружения подозрительного поведения программ, не пытаются идентифицировать известные вирусы, вместо этого они прослеживают поведение всех программ. Если программа пытается записать какие-то данные в исполняемый файл (exe-файл), программа-антивирус может пометить этот файл, предупредить пользователя и спросить, что следует сделать.

В отличие от метода определения вируса по сигнатуре из базы метод обнаружения подозрительного поведения защищает от совершенно новых вирусов и сетевых атак, которых ещё нет ни в одной базе вирусов или атак. Однако программы, построенные на этом методе, выдают также большое количество ошибочных предупреждений, что делает пользователя маловосприимчивым к ним.

Рис. 2. Анализ и выбор сигнатур вируса в специальном редакторе

3. Обнаружение, основанное на эмуляции - метод работы антивирусной программы, при котором либо подозрительный файл запускается в тщательно контролируемой среде, либо его исполнение эмулируется с целью выявления тех признаков вредоносного кода, которые появляются только во время исполнения программы. Некоторые программы-антивирусы пытаются имитировать начало выполнения кода каждой новой, вызываемой на исполнение программы, перед тем как передать ей управление. Если программа использует самоизменяющийся код или проявляет себя как вирус (немедленно начинает искать другие exe-файлы), то она будет считаться вредоносной, способной заразить другие файлы. Ещё один метод определения вирусов включает использование «песочницы» (зачастую основанной на виртуальной машине). «Песочница» имитирует операционную систему и запускает исполняемый файл в этой имитируемой системе. После исполнения программы антивирусное программное обеспечение анализирует содержимое «песочницы» на присутствие каких-либо изменений, которые можно квалифицировать как вирус. Из-за того, что быстродействие системы снижается и требуется достаточно продолжительное время для выполнения программы, антивирусные программы, построенные по этому методу, обычно используются только для сканирования по запросу пользователя. Следует отметить, что эффективность данных программ намного выше, чем у всех остальных, но и затраты на их работу также выше.

4. Эвристическое сканирование - метод работы антивирусной программы, основанный на сигнатурах и эвристике, который призван улучшить способность сканеров применять сигнатуры и распознавать модифицированные версии вирусов в тех случаях, когда сигнатура совпадает с элементом кода неизвестной программы не на 100 %, но в подозрительной программе налицо более общие признаки вируса. Данная технология, однако, применяется в современных программах очень осторожно, так как может повысить количество ложных срабатываний.

Наиболее известная технология эвристического сканирования -- Bloodhound -- применяется компанией «Symantec» в продукте Norton Antivirus [2]. Эвристика призвана сделать сигнатуры более гибкими, полное совпадение не обязательно. В качестве одной из многочисленных возможных подсказок может рассматриваться даже такой простой признак, как наличие в подозрительном файле слова «virus».

В современных программных комплексах с разной долей успеха применяется комбинированный подход к анализу и обнаружению вредоносного ПО. Не исключено, что через некоторое время, в ответ на новые, неизвестные сегодня угрозы, будут разработаны новые методы, но четыре перечисленных на сегодняшний день являются основными и применяются во всех значительных антивирусных программах.

Коммерциализация сети Интернет привела к тому, что информационное пространство «сотрясается» от вирусных эпидемий, пользователи почтовых серверов и web-пейджеров воспринимают получение нежелательной корреспонденции как нечто само собой разумеющееся, а корпоративные ресурсы постоянно подвергаются атакам. Кибер-преступность из голливудского мифа превратилась в бич современного информационного сообщества, и, скорее всего, это только начало большой войны.

Следует помнить, что главным союзником хакеров и «вирусописателей» является несерьезное отношение к самозащите пользователей, не принимающих элементарных мер, позволяющих существенно сократить возможный риск. Безопасность отдельных пользователей, организаций и в итоге всего информационного пространства зависит в первую очередь от понимания глубины и серьезности проблемы, принятия правильных и своевременных решений.

Список литературы

1. Касперски, К. Компьютерные вирусы изнутри и снаружи/К. Касперски. -- СПб.: Питер, 2006. - 528 с.

2. Козлов, Д. А. Энциклопедия компьютерных вирусов/Д. А. Козлов, А. А. Парандовский, А. К. Парандовский. -- М.:СОЛОН-Р, 2001. - 464 с.

3. Szor, P. Art of Computer Virus Research and Defense/ P. Szor. -- N. - Y., 2005.

Размещено на Allbest.ru