Основы информационной безопасности

4. ПО, создаваемое на основе проектирования, и самонастраивающееся ПО

Снижение трудоемкости на этапе проектирования и создания ПО осуществляется путем использования Case-систем моделирования и разработки ПО. Case-системы хорошо документируют процесс создания и сопровождения ПО, но они ориентированы на профессиональных разработчиков ПО и создают плохо оптимизированный программный код.

Самонастраивающееся ПО призвано снизить трудоемкость при установке и инсталляции систем, а также поддерживать качество своего функционирования в процессе эксплуатации. Такими свойствами обладает современная операционная система (ОС) Windows, автоматически определяющая конфигурацию технических средств компьютера при инсталляции и каждом запуске системы, а также автоматически определяющая изменения конфигурации технических средств и устанавливаемое ПО в процессе своего функционирования.

Существенно повысить качество и срок эксплуатации с принципиальным снижением трудоемкости и затрат на создание и сопровождение систем позволяет только самоорганизующееся ПО.

5. Самоорганизующееся ПО

Самоорганизующимся является ПО, способное длительное (потенциально бесконечное) время быть адекватным внешней среде на основе адаптации к изменениям внешней среды (решаемым задачам, объектам взаимодействия) и внутренней организации системы (объему данных, их размещению и т. д.). Для обеспечения таких возможностей самоорганизующееся ПО должно обладать рядом принципиально новых свойств, отличающих его от пассивных систем:

являться автономной активной интенсивной системой, способной самостоятельно функционировать в определенной изменяющейся среде;

- быть открытой системой на всех уровнях организации: структурном, функциональном, интерфейсном, организации данных и др.;

- функционировать преимущественно на основе собственной цели и внутренних потребностей с учетом неспецифических воздействий внешней среды;

- обеспечивать корректность и высокий уровень надежности и эффективности функционирования в изменяющейся среде;

- обеспечивать взаимодействие с внешней средой на семантическом уровне и предоставлять простой интерфейс взаимодействия, скрывающий от внешней среды высокую внутреннюю сложность системы;

- способность системы с течением времени предоставлять внешней среде (пользователям) все более широкие возможности по решению задач, организации и обработке данных;

- способность системы возникать и формироваться естественным путем (без участия программистов, разработчиков) и др.

В настоящее время практически нет программных систем, у которых достаточно четко проявлялись бы указанные свойства.

Простейшими представителями данного класса систем можно считать генетические алгоритмы, самообучаемые перестраивающиеся нейронные сети и компьютерные вирусы.

Таким образом, создание программных систем данного класса является делом будущего и, возможно, ознаменует собой третью революцию в области ПО.

Рассмотренные поколения ПО позволяют выявить ряд методов, используемых для адаптации программных систем к изменениям внешней среды и внутренней организации системы:

1. Параметрическая адаптация - настройка параметров ПО.

Параметрическая адаптация является простейшим видом адаптации и предполагает изменение значений переменных (параметров), определяющих поведение и функционирование программы. При таком подходе можно настраивать функции и компоненты ПО, а также выбирать определенные стратегии поведения из допустимого набора стратегий.

2. Функциональная адаптация - изменение функций ПО в допустимых пределах.

Функциональная адаптация обеспечивает изменение функций ПО, в пределах имеющейся структуры и организации системы. При этом допустима параметрическая настройка всего ПО, сохраняющая неизменной ее структуру и организацию для выполнения задач, первоначально заложенных в систему.

3. Организационная адаптация - изменение организации (процессов) в системе.

Организационная адаптация предполагает изменение потоков и процессов, протекающих внутри системы, с возможностью изменения функций и параметрической настройки. При данной адаптации происходит перераспределение внутренних ресурсов системы без изменения ее структуры для достижения более высокой производительности и качественного исполнения_решаемых_задач.

4. Структурная адаптация - изменение структуры системы.

Структурная адаптация предполагает модификацию или замену одних структурных компонентов (алгоритмических модулей) системы другими компонентами, позволяющими программе становиться более адекватной решаемым задачам и условиям функционирования.

При этом возможно использование организационной, функциональной и параметрической адаптации системы.

5. Размножение - порождение себе подобных потомков.

Размножение, как способ адаптации, является невероятно сложным, но и необычайно эффективным методом адаптации. Оно позволяет системе порождать потомки, со свойствами подобными родительским, но обладающими большими возможностями (наличием свободных ресурсов и способностью к изменениям), что позволяет им более эффективно адаптироваться к существенным изменениям внешней среды.

6. Развитие - направленный процесс эволюции систем.

Развитие предполагает, как направленный процесс эволюции (изменений) конкретной системы, включающий 4 этапа: зарождение системы, становление системы определенного качества, устойчивое функционирование системы, деградацию и гибель системы, так и популяционно-видовой способ существования и эволюции множеств подобных систем.

Таким образом, конкретные системы, порождаясь достаточно простыми, в процессе существования (функционирования) накапливают информацию о себе, о внешней среде и о решаемых задачах и становятся более приспособленными для решения задач, изменяющихся во времени. С другой стороны, параллельное существование систем с разным уровнем развития позволяет более совершенным системам осуществлять обучение менее развитых систем, что порождает процесс коэволюции систем и существенно ускоряет прогресс совершенствования и развития всей популяции систем. Кроме этого, при определенных условиях краткосрочно могут возникать новые виды развивающихся систем, которые будут существенно более адекватны внешней среде и решаемым задачам.

Решение проблемы адаптивности программного обеспечения, возможно, является центральным звеном в создании программных продуктов нового поколения. Адаптивные программные системы (adaptive software) могут открыть новую страницу в развитии информационных технологий. Многие компании, прежде всего IBM, Hewlett-Packard и Microsoft, уже осознали необходимость в системах с элементами саморегулирования и объявили о своих программах по созданию адаптируемых и адаптивных систем. Это индуцирует развитие теоретической базы методологий поддержки жизненного цикла программных продуктов.

В настоящее время применяется ряд методов рекомпозиционной адаптации программных систем. Однако целостная методология проектирования таких систем отсутствует.

Часть 2. Методы и средства защиты компьютерных систем

Тема 2.1 Вредоносные программы: классификация, методы обнаружения

К вредоносным программам (иначе называемым разрушающими программными воздействиями, malware) относятся компьютерные вирусы и программные закладки.

Компьютерный вирус - автономно функционирующая программа, обладающая одновременно тремя свойствами:

- способностью к включению своего кода в тела других файлов и системных областей памяти компьютера;

- по следующему самостоятельному выполнению;

- самостоятельному распространению в компьютерных системах.

Программная закладка - внешняя или внутренняя по отношению к атакуемой компьютерной системе программа, обладающая определенными разрушительными функциями по отношению к этой системе.

Классификация компьютерных вирусов:

1. По способу распространения в компьютерной системе:

­ n файловые вирусы, заражающие файлы одного или нескольких типов;

­ n загрузочные вирусы, заражающие загрузочные сектора жестких дисков и дискет;

­ n комбинированные вирусы, способные заражать и файлы, и загрузочные сектора дисков.

2. По способу заражения других объектов компьютерной системы:

­ n резидентные вирусы, часть кода которых постоянно находится в оперативной памяти компьютера и заражает другие объекты;

­ n нерезидентные вирусы, которые заражают другие объекты в момент открытия уже зараженных ими объектов.

3. По деструктивным возможностям:

­ n безвредные вирусы, созданные в целях «обучения», однако снижающие эффективность работы компьютерной системы за счет потребления ее ресурсов;

­ n неопасные вирусы, создающие различные звуковые и видеоэффекты;

­ n опасные и очень опасные вирусы, вызывающие сбои в работе программного и (или) аппаратного обеспечения компьютера, потерю программ и данных, а потенциально - вывод из строя аппаратуры КС и нанесение вреда здоровью пользователей.

4. По особенностям реализуемого алгоритма:

­ n вирусы-спутники, создающие для заражаемых файлов одноименные файлы с кодом вируса и переименовывающие исходные файлы (при открытии зараженного файла фактически открывается файл с кодом вируса, в котором после выполнения предусмотренных автором действий открывается исходный файл);

­ n паразитические вирусы, которые обязательно изменяют содержимое заражаемых объектов;

­ n вирусы-невидимки («стелс»-вирусы), в которых путем перехвата обращений операционной системы к зараженным объектам скрывается факт присутствия вируса в компьютерной системе (при собственном обращении к дисковой памяти вирусы-невидимки также используют нестандартные средства для обхода средств антивирусной защиты);

­ n вирусы-призраки (полиморфные вирусы), каждая следующая копия которых в зараженных объектах отличается от предыдущих (не содержит одинаковых цепочек команд за счет применения шифрования на различных ключах базового кода вируса).

Защита от руткитов:

­ Существующие специализированные программы, предназначенные для обнаружения руткитов, и традиционные антивирусы не дают стопроцентной гарантии безопасности.

­ Обладая исходным кодом этих программ, можно создать любые модификации руткитов или включить часть кода в любую шпионскую программу.

­ Главная цель руткитов не прочно закрепиться в системе, а проникнуть в нее.

Предотвращение внедрения программных закладок

Организационные меры:

­ Минимизация времени работы в системе с полномочиями администратора.

­ Создание отдельной учетной записи для работы в Интернете.

­ Осмотрительная работа с почтовыми и офисными программами и др.

Методы предупреждения вирусного заражения:

­ физическое или логическое (для отдельных учетных записей) отключение накопителей для съемных дисков;

­ разграничение прав отдельных пользователей и групп на доступ к папкам и файлам операционной системы и других пользователей;

­ ограничение времени работы в компьютерной системе привилегированных пользователей;

­ использование, как правило, только лицензионного программного обеспечения, приобретенного у официальных представителей фирм-правообладателей;

­ выделение не подсоединенного к локальной сети компьютера для тестирования полученного из ненадежных источников программного обеспечения.

Методы обнаружения компьютерных вирусов:

1. Просмотр (сканирование) проверяемых объектов (системных областей дисковой и оперативной памяти, а также файлов заданных типов) в поиске сигнатур (уникальных последовательностей байтов) известных вирусов. Недостатки: необходимость постоянного обновления баз данных сигнатур известных вирусов, неспособность обнаружить новые компьютерные вирусы.

2. Инспекция (обнаружение изменений в объектах компьютерной системы) путем сравнения их вычисленных при проверке хеш-значений с эталонными (или проверки ЭЦП для этих объектов). Недостатки: не все изменения проверяемых объектов вызываются вирусным заражением, не может помочь при записи на жесткий диск компьютера пользователя уже зараженного файла.

3. Эвристический анализ - проверка системных областей памяти и файлов с целью обнаружения фрагментов исполнимого кода, характерного для компьютерных вирусов. Анализируются тысячи различных характеристик каждого файла. Недостатки: длительность процедуры проверки, возможность ложных сообщений о найденных вирусах.

4. Мониторинг ? постоянное присутствие в оперативной памяти компьютера с целью сканирования всех открываемых или получаемых извне файлов и контроля всех «подозрительных» действий других программ (например, обнаружение и блокирование потенциально опасных результатов web-поиска, ссылок на URL). Недостатки: снижение эффективности работы системы, возможность выполнения контролируемых действий незараженными программами.

5. Вакцинирование - присоединение к защищаемому файлу специального модуля контроля, следящего за целостностью данного файла с помощью вычисления его хеш-значения и сравнения с эталоном. Недостатки: возможность обхода вирусами-невидимками , неприменимость для защиты файлов документов.

6. Блокирование потенциально опасных действий пользователя:

a) Установка параметров безопасности и конфиденциальности в обозревателе Интернета.

b) Установка защиты от записи в загрузочные сектора с помощью программы BIOS Setup.

c) Определение недоступных для изменения областей дисковой памяти с помощью драйвера PCI-контроллера.

Удаление обнаруженных вирусов:

1. Автоматическое ? с помощью заранее разработанного алгоритма «лечения» зараженных известным вирусом объектов.

2. Автоматическое или «ручное» удаление зараженного объекта (с его последующим восстановлением по сохраненной незараженной резервной копии).

3. Полная переустановка системы, включая форматирование дисковой памяти, восстановление главного загрузочного сектора, установку операционной системы и прикладного программного обеспечения, восстановление файлов данных с резервных носителей информации.

Тема 2.2 Антивирусные программы: классификация, сравнительный анализ

Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными.

Различают следующие виды антивирусных программ:

- программы-детекторы;

- программы-доктора или фаги;

- программы-ревизоры;

Программы-доктора или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них: AVP, Norton AntiVirus, Doctor Web.

Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление версий.

Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелсвирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная в России программа Adinf.

Программы-фильтры или «сторожа» представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

1. попытки коррекции файлов с расширениями COM, EXE;

2. изменение атрибутов файла;

3. прямая запись на диск по абсолютному адресу;

4. запись в загрузочные сектора диска;

5. загрузка резидентной программы.

При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие.

Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако, они не «лечат» файлы и диски. Для уничтожения вирусов требуется применить другие программы, например, фаги.

Вакцины или иммунизаторы - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.

Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры.

AntiViral Toolkit Pro

AVP имеет удобный пользовательский интерфейс, большое количество настроек, выбираемых пользователем, а также одну из самых больших в мире антивирусных баз, что гарантирует надежную защиту от огромного числа самых разнообразных вирусов.

В ходе работы AVP сканирует следующие области:

- Оперативную память.

- Файлы, включая архивные и упакованные.

- Системные сектора, содержащие Master Boot Record, загрузочный сектор (Boot-сектор) и таблицу разбиения диска (Partition Table).

AntiViral Toolkit Pro имеет ряд особенностей, характеризующих его работу:

- детектирование и удаление огромного числа самых разнообразных вирусов, в том числе полиморфных или самошифрующихся вирусов; стелс-вирусов или вирусов-невидимок; макро вирусов, заражающих документы Word и таблицы Excel;

- сканирование внутри упакованных файлов (модуль Unpacking Engine);

- сканирование внутри архивных файлов (модуль Extracting Engine);

- сканирование объектов на гибких, локальных, сетевых и CD-ROM дисках;

- эвристический модуль Code Analyzer, необходимый для детектирования неизвестных вирусов;

- поиск в режиме избыточного сканирования;

- проверка объектов на наличие в них изменений;

- «AVP Monitor» - резидентный модуль, находящийся постоянно в оперативной памяти компьютера и отслеживающий все файловые операции в системе. Позволяет обнаружить и удалить вирус до момента реального заражения системы в целом;

- удобный пользовательский интерфейс;

- создание, сохранение и загрузка большого количества различных настроек;

- механизм проверки целостности антивирусной системы;

- мощная система помощи;

- AVP Центр Управления - программа-оболочка, позволяющая организовать эффективную антивирусную защиту на ПК.

Doctor Web

Программа DoctorWeb предназначена для борьбы с полиморфными вирусами, способна обнаруживать изменения в собственном теле. С помощью мощного аналитического анализатора может распознавать заражение файлов неизвестными вирусами, в том числе в упакованных файлах.

Программой предусматривается возможность проведения эвристического анализа на трех уровнях. При этом исследуются файлы и системные области дисков с целью обнаружения неизвестных вирусов по характерным кодовым последовательностям.

Работа с программой может выполняться в режиме полноэкранного интерфейса с использованием меню и диалоговых окон или в режиме вызова из командной строки. Второй вариант предпочтителен при многократном регулярном использовании программы для контроля дискет. При этом для удобства команду запуска программы DoctorWeb действиями, которые могут означать присутствие неизвестного вируса (автозащита с технологией вирусного датчика).

Перечисленные автоматические функции включены по умолчанию. В зависимости от степени риска в той среде, где используется компьютер, можно усилить или ослабить меры защиты путем настройки различных параметров.

Norton AntiVirus

Кроме автоматического поиска вирусов средствами автозащиты, можно в любой момент начать ручной поиск или назначить его выполнение на определенное время.

NortonAntiVirus выдает сигналы тревоги при обнаружении:

- известного или неизвестного вируса;

- вирусоподобного действия (из числа тех, которые обычно совершаются вирусами при распространении или порче файлов);

- изменения вакцинации (когда файл либо не вакцинирован, либо подвергся изменению с момента последней вакцинации).

NortonAntiVirus может исправить большинство зараженных файлов. Однако если исправить файл не удается, его необходимо удалить с диска и затем заменить незараженной копией. Следует хранить оригинальные диски программ в безопасном месте и создавать резервные копии ценных файлов.

При проверке программных файлов NortonAntiVirus просматривает также документы и шаблоны MicrosoftWord и Excel. Хотя эти файлы не являются программными, в них могут легко проникать так называемые макровирусы.

Существует два способа уничтожения вирусов.

- Исправление зараженного файла, загрузочной записи или главной загрузочной записи.

- Удаление зараженного файла с диска и последующая замена его незараженной копией.

Тема 2.3 Фаервол: задачи, сравнительный анализ, настройка

Фаервол, (firewall - огненная стена) ещё его называют брандмауэр или сетевой экран, это программа для защиты компьютеров от сетевых атак и от потери конфиденциальных данных. Основной задачей сетевого экрана является защита компьютера от несанкционированного доступа. Кроме того, фаерволы часто называют фильтрами, так как их основная задача -- не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в правилах.

Обычно сетевые экраны запускаются как служба, при загрузке операционной системы и контролирует сетевую активность компьютера. Фаервол является преградой для внешних сетевых атак на компьютер пользователя.

Большинство таких программ легко настраиваются и имеют автоматический режим для неопытных пользователей. Зачастую в хороших фаерволах есть режим автоматического обучения, программа следит за входящими и исходящими соединениями и добавляет их в список доверенных или в блокированных.

Outpost Firewall -- программа для защиты компьютера от хакерских атак из Интернета. Кроме этого, Аутпост обеспечивает блокировку загрузки рекламы и активного содержимого веб-страниц, а тем самым -- их более быструю загрузку. От российской компании Agnitum.

Outpost Firewall -- выпускается в двух вариантах: Outpost Firewall Pro (лицензия Shareware) и Outpost Firewall Free (лицензия Freeware)

Возможности программы

- Фильтрация входящих и исходящих сетевых соединений

- Глобальные правила для протоколов и портов

- Создания правил сетевого доступа для известных приложений на основе предустановок

- Политики блокировки задают реакцию Outpost на соединение, отсутствующее в правилах -- автоматически отклонить его, разрешить или выдать запрос на создание правила, кроме того, блокировка/разрешение всех соединений

- Контроль компонентов, контроль скрытых процессов и контроль памяти процессов позволяют устанавливать ограничения на сетевую активность для отдельных приложений и процессов, определяя, какие именно -- входящие или исходящие -- соединения разрешены для конкретных приложений

- Визуальное оповещение о событиях (например, о блокировании соединения, попытке сетевой атаки) с помощью всплывающих окон

- Наглядное отображение сетевой активности

- Журнал действий программы, в том числе и подключаемых модулей

- Внутренняя защита (например, от попыток остановить сервис) и возможность задать пароль на изменение конфигурации.

В состав дистрибутива Outpost Firewall Pro входят следующие плагины (программный модуль):

- Реклама -- позволяет блокировать интернет-рекламу по ключевым словам и типичным размерам рекламных баннеров

- Интерактивные элементы -- контролирует деятельность следующих активных web-элементов: ActiveX, Java-апплеты, сценарии Java Script и, Cookies, всплывающие окна, скрытые фреймы, Flash, анимированные GIF

- Детектор атак -- обнаруживает и блокирует попытки сетевых атак

- Фильтрация почтовых вложений -- обнаруживает и переименовывает потенциально опасные вложения в электронной почте

- DNS -- кэширование наиболее часто используемых записей DNS для ускорения доступа к ним

- Разное -- блокировка сайтов с нежелательным содержимым по ключевым словам и URL

- Anti-Spyware -- блокировка шпионского программного обеспечения и предотвращение отправки через сеть Интернет конфиденциальной информации

Comodo Internet Security - бесплатный файрвол, разработанный американской компанией. Это комплексное решение, включающее наряду с файрволом защиту от троянов и вирусов и другие функции. Программа включает огромное число разнообразных настроек. Платная версия имеет дополнительные функции по защите, оптимизации и настройке ПК и шифровке данных, передаваемых по беспроводным соединениям.

Возможности программы

1. Проактивная защита.

2. Защита от интернет-атак.

3. Защита от переполнения буфера.

4. Защита от несанкционированного доступа.

5. Защита важных системных файлов и записей реестра от внутренних атак.

6. Обнаружение переполнения буфера, которое происходит в HEAP памяти.

7. Обнаружение нападений ret2libc

Kaspersky Internet Security -- пакет программ для комплексной защиты персональных компьютеров. Программа обеспечивает: антивирусную защиту, защиту от сетевых атак, спама, неизвестных угроз, интернет-мошенничества и позволяет контролировать доступ пользователей компьютера к интернету.

Защита компьютера в реальном времени обеспечивается следующими компонентами защиты:

- Файловый Антивирус: Контролирует файловую систему компьютера. Он проверяет все открываемые, запускаемые и сохраняемые файлы на вашем компьютере и на всех присоединенных дисках. Каждое обращение к файлу перехватывается Kaspersky Internet Security, и файл проверяется на присутствие известных вирусов. Дальнейшая работа с файлом возможна только в том случае, если файл не заражен или был успешно вылечен программой. Если файл по каким-либо причинам невозможно вылечить, он будет удален; при этом его копия будет сохранена в резервном хранилище, или помещён на карантин.

- Почтовый Антивирус: Проверяет все входящие и исходящие почтовые сообщения вашего компьютера. Он анализирует электронные письма на присутствие вредоносных программ. Письмо будет доступно адресату только в том случае, если оно не содержит опасных объектов. Кроме того, компонент анализирует почтовые сообщения на предмет фишинг-мошенничества.

- Веб-антивирус: Перехватывает и блокирует выполнение скрипта, расположенного на веб-сайте, если он представляет угрозу. Строгому контролю также подвергается весь HTTP-трафик. Кроме того, компонент анализирует веб-страницы на предмет фишинг-мошенничества.

- IM-антивирус: Обеспечивает безопасность работы с интернет-пейджерами. Компонент защищает информацию, поступающую на ваш компьютер по протоколам интернет-пейджеров. IM-антивирус обеспечивает безопасную работу со многими программами, предназначенными для быстрого обмена сообщениями.

- Контроль программ: Регистрирует действия, совершаемые программами в системе, и регулирует деятельность программ, исходя из того, к какой группе компонент относит данную программу. Для каждой группы программ задан набор правил. Эти правила регламентируют доступ программ к различным ресурсам.

- Сетевой экран: Обеспечивает безопасность вашей работы в локальных сетях и интернете. Компонент производит фильтрацию всей сетевой активности согласно правилам двух типов: правилам для программ и пакетным правилам.

- Проактивная защита: Позволяет обнаружить новую вредоносную программу ещё до того, как она успеет нанести вред. Компонент основан на контроле и анализе поведения всех программ, установленных на вашем компьютере. На основании выполняемых действий Kaspersky Internet Security принимает решение о том, является программа потенциально опасной или нет. Таким образом, ваш компьютер защищен не только от уже известных вирусов, но и от новых, ещё не исследованных.

- Защита от сетевых атак: Запускается при старте операционной системы и отслеживает во входящем трафике активность, характерную для сетевых атак. Обнаружив попытку атаки на компьютер, Kaspersky Internet Security блокирует любую сетевую активность атакующего компьютера в отношении вашего компьютера.

- Анти-спам: Встраивается в установленный на вашем компьютере почтовый клиент и контролирует все поступающие почтовые сообщения на предмет спама. Все письма, содержащие спам, помечаются специальным заголовком. Предусмотрена также возможность настройки Анти-спама на обработку спама (автоматическое удаление, помещение в специальную папку и т. д.). Также компонент анализирует почтовые сообщения на предмет фишинг-мошенничества.

- Мониторинг сети: Компонент, предназначенный для просмотра информации о сетевой активности в реальном времени.

- Анти-фишинг: Компонент, встроенный в веб-антивирус, анти-спам и IM-антивирус, который позволяет проверять веб-адреса на принадлежность к спискам фишинговых и подозрительных веб-адресов.

- Анти-баннер: Блокирует рекламную информацию, размещенную на специальных баннерах, встроенных в интерфейс различных программ, установленных на вашем компьютере, и находящихся в интернете.

- Родительский контроль: Компонент программы, выполняющий функции контроля доступа пользователей компьютера к веб-ресурсам. Основной задачей Родительского контроля является ограничение доступа, в первую очередь, к веб-сайтам, предназначенным для взрослой аудитории, затрагивающим темы порнографии, оружия, наркотиков, провоцирующим жестокость, насилие и т. д., а также к веб-сайтам, которые являются потенциальной причиной потери времени (чаты, игровые ресурсы) или денег (интернет-магазины, аукционы).

- Безопасная среда: Позволяет запускать приложения в безопасном для системы окружении (т. н. песочница). Это может быть использовано для запуска потенциально опасного ПО или для анонимного веб-серфинга.

- Проверка ссылок: Дополнение для браузеров Internet Explorer и Mozilla Firefox, проверяющее ссылки на просматриваемой веб-странице на предмет заражения веб-страниц, на которые они ссылаются

- Мониторинг активности: Компонент защиты «Мониторинг активности» отслеживает активность программ в системе и предоставляет расширенную информацию другим компонентам защиты. Кроме того, благодаря сохраняемой истории активности программ, компонент может выполнять откат действий вредоносной программы при обнаружении вредоносной активности различными компонентами защиты.

- Усовершенствованная функциональность Безопасной среды: Безопасный запуск программ представляет собой изолированный рабочий стол, на котором вы можете запускать подозрительные программы без вреда для основной операционной системы.

- Веб-фильтр: Для усиления защиты при работе в интернете добавлены новые модули: Веб-фильтр -- включает в себя модуль проверки ссылок, уже известный с предыдущей версии программы, а также предоставляет возможность блокировать доступ к небезопасным веб-сайтам, что позволяет вам оставаться в пределах безопасной зоны интернета.

- Гео-фильтр: Позволяет вам разрешить или запретить доступ к веб-сайтам на основе их принадлежности к доменам. Это помогает, например, запретить доступ к веб-сайтам, принадлежащим к региональным доменам с высокой степенью зараженности.

- Контроль программ и Kaspersky Security Network: Позволяет эффективнее определять статусы программ и настраивать правила для программ, используя данные Kaspersky Security Network, основанные на статистике работы Контроля программ на компьютерах множества пользователей.

- Проверка во время простоя компьютера: С помощью проверки во время простоя компьютера проверка компьютера на вирусы теперь может выполняться в те промежутки времени, когда вы не работаете за компьютером, и останавливаться, когда вы возвращаетесь к работе за компьютером. Это позволяет регулярно выполнять проверку и в то же время не снижать быстродействие компьютера тогда, когда он вам нужен.

- Расширена функциональность Родительского контроля: Теперь можно контролировать доступ пользователя к компьютеру и интернету, запуск пользователем компьютерных программ, ограничивать просмотр веб-страниц с нежелательным содержимым и загрузку файлов из интернета, контролировать общение пользователя в социальных сетях и через интернет-пейджеры, а также просматривать отчеты о действиях контролируемого пользователя. Для оптимизации настройки Родительского контроля предусмотрены экспорт и импорт параметров работы компонента для учетной записи.

Тема 2.4 Групповые политики. Аутентификация. Учетные записи

Управление групповыми политиками позволяет администраторам задавать конфигурацию операционных систем серверов и клиентских компьютеров. Реализуется эта функциональность с помощью оснастки «Редактор объектов групповой политики».

Для компьютеров, входящих в домен Active Directory, используются групповые политики, определяющие политики безопасности, используемые в рамках сайта, домена или набора организационных единиц (OU - organizational units).

Групповые политики и Active Directory позволяют:

- централизованно управлять пользователями и компьютерами в масштабах предприятия;

- автоматически применять политики информационной безопасности;

- понижать сложность административных задач (например, обновление операционных систем, установка приложений, управление любыми службами и компонентами на платформе Windows);

- унифицировать параметры безопасности в масштабах предприятия;

- обеспечить эффективную реализацию стандартных вычислительных средств для групп пользователей (позволяет создать ИТ-инфраструктуру предприятия, ориентированную на потребности пользователей, сформированные в строгом соответствии с их должностными обязанностями и уровнем квалификации).

Применение групповых политик и Active Directory для сайтов, доменов и организационных единиц необходимо реализовывать с учетом следующих правил:

- объекты групповой политики (GPO) хранятся в каждом домене индивидуально;

- с одним сайтом, доменом или организационной единицей может быть сопоставлено несколько GPO;

- несколько сайтов, доменов или организационных единиц могут использовать единственную GPO;

- любому сайту, домену или организационной единице можно сопоставить любую GPO;

- параметры, определяемые GPO, можно фильтровать для конкретных групп пользователей или компьютеров на основе их членства в группах безопасности или с помощью WMI-фильтров.

При администрировании ИТ-инфраструктуры предприятия администраторы посредством механизма групповой политики могут производить настройку приложений, операционных систем, безопасность рабочей среды пользователей и информационных систем в целом. Для этого используются следующие возможности:

- политика на основе реестра. С помощью редактора объектов групповой политики можно задать параметры в реестре для приложений, операционной системы и е? компонентов;

- параметры безопасности. Администраторы могут указывать параметры локальной, доменной и сетевой защиты для компьютеров и пользователей в области действия GPO, используя шаблоны безопасности;

- ограничения на использование программ. Данные ограничения предназначены для защиты от вирусов, выполнения нежелательных программ и атак на компьютеры;

- распространение и установка программ. Обеспечивается возможность централизованного управления установкой, обновлением и удалением приложений;

- сценарии для компьютеров и пользователей. Данные средства позволяют автоматизировать операции, выполняемые при запуске и выключении компьютера, при входе и выходе пользователя;

- мобильные пользовательские профили и перенаправление папок. Профили хранятся на сервере и позволяют загружаться на тот компьютер, где пользователь входит в систему. Перенаправление папок позволяет размещать важные для пользователя папки на сервере;

- автономные папки. Данный механизм позволяет создавать копии сетевых папок, синхронизировать их с сетью и работать с ними при отключении сети;

- поддержка Internet Explorer. Эта возможность позволяет администраторам проводить управление конфигурацией Microsoft Internet Explorer на компьютерах с поддержкой групповой политики.

Для общего контроля применения групповой политики используются механизм WMI - фильтров (Windows Management Instrumentation). Данное решение позволяет администраторам создавать и модифицировать WMI - запросы для фильтрации параметров безопасности, определяемых групповыми политиками. WMI - фильтры позволяют динамически задавать область действия групповой политики на основе атрибутов целевого компьютера.

Идентификация пользователя - распознавание пользователя компьютерной системы на основании ранее заданного описания. Идентификация имеет целью определение полномочий пользователя (права доступа к данным и выбора режима их использования).

Аутентификация пользователя -процедура проверки прав пользователя на доступ к информации или на выполнение определенных действий.

Идентификация позволяет пользователю назвать себя (сообщить свое имя). Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает ("проверка подлинности").

Аутентификация бывает односторонней и двусторонней (взаимной). Пример односторонней аутентификации - процедура входа пользователя в систему.

3 группы способов аутентификации:

1) основанные на том, что пользователь знает некоторую подтверждающую его подлинность информацию. Это парольная аутентификация и аутентификация на основе модели «рукопожатия».

2) основанные на том, что пользователь имеет некоторый материальный объект, который может подтвердить его подлинность (пластиковая карта с идентифицирующей пользователя информацией и т п) - программно-аппаратные методы

3) основанные на таких данных, которые позволяют однозначно считать, что пользователь и есть тот самый субъект, за которого себя выдает (биометрические данные, особенности клавиатурного почерка и росписи мыши и т п)

Парольная аутентификация

При выборе пароля необходимо руководствоваться двумя взаимоисключающими правилами: пароль должен трудно подбираться и легко запоминаться. Сложность подбора пароля определяется мощностью множества символов (N) и минимально возможной длиной пароля (k). Число всех возможных вариантов паролей С=N^k.

Другие параметры политики учетных записей пользователей:

1) max срок действия пароля;

2) несовпадение пароля с логическим именем пользователя;

3) неповторяемость паролей одного пользователя.

Еще один аспект политики учетных записей пользователей - определение противодействия системы попыткам подбора паролей. Правила:

1) ограничение числа попыток входа в систему;

2) скрытие логического имени последнего работавшего пользователя;

3) учет всех попыток входа в систему.

Реакция системы на неудачную попытку входа:

1) блокировка учетной записи за превышение max возможных попыток

2) нарастающее увеличение временной задержки перед предоставлением пользователю следующей попытки входа (постоянная блокировка учетной записи нецелесообразна, так как позволит нарушителю заблокировать работу легального пользователя)

Для первоначального ввода или для смены паролей используются два правила:

1) символы не отображаются на экране;

2) ввод пароля повторяется дважды.

Хранение пароля в базе данных осуществляется, как правило, в зашифрованном виде. Минусы:

- поскольку при шифровании необходимо использовать ключ, необходимо обеспечить его защищенное хранение

- опасность расшифрования любого пароля и получения его в открытом виде.

Виды парольной аутентификации:

1) с использованием многоразовых паролей;

2) с использованием одноразовых паролей. Пользователь получает список паролей Р1, Р2, … РN. Каждый из паролей действует только на один сеанс входа. В этом случае знание уже использовавшегося пароля ничего не даст злоумышленнику.

Недостатки: организация защищенного хранения длинного списка паролей, неясность с номером следующего пароля, если при вводе предыдущего вход в систему был не осуществлен из-за сбоя в работе системы. Эти недостатки могут быть устранены, если список паролей генерировать на основе необратимой функции, например, хеширования. Пусть Р - начальный пароль пользователя, а F - необратимая функция. Функция F применяется последовательно i раз для получения Pi : F^i(P) = F(F(…F(P)…)). Тогда список одноразовых паролей создается следующим образом: P1 = F^n (P), P2 = F^(n-1)(P), … , Pn = F(P). При сбое в процессе входа пользователя в систему всегда осуществляется выбор последующего пароля из списка, а система последовательно применяется функцию F к введенному паролю до совпадения с последним принятым от него паролем или до превышения длины списка.

В любом варианте парольной аутентификации подтверждение подлинности осуществляется на основе ввода некоторой конфиденциальной информации, которую можно выманить, подобрать и т п. Аутентификация на основе модели «рукопожатия» во многом свободна от этих недостатков.

Аутентификация на основе модели «рукопожатия»

Пользователь П и система С согласовывают при регистрации пользователей функцию f, известную только им. Протокол аутентификации пользователя в этом случае выглядит следующим образом:

1) С: генерация случайного значения х, вычисление у = f(х), вывод х.

2) П: вычисление у' = f ` (x), ввод y'.

3) C: если y и y' совпадают, то пользователь допускается к работе в системе, иначе попытка входа в систему отклоняется.

К функции f предъявляется требование, чтобы по известным x и f(x) нельзя было угадать f.

Преимущества: между пользователем и системой не передается никакой конфиденциальной информации, каждый последующий сеанс входа отличен от предыдущего. Может использоваться в случае необходимости взаимного подтверждения пользователей компьютерной сети.

Недостатки: большая длительность этой процедуры по сравнению с парольной.

Тема 2.5 Тестирование защиты программного обеспечения

Данный вид услуги позволяет руководителям в полной мере контролировать качество разработки защиты программного продукта, которое без надлежащего контроля, как правило, оказывается на очень низком уровне и взламывается за 2-3 минуты. И, разумеется, после появления взломанной копии данного продукта в сети интернет все огрехи в разработке и реализации защиты списываются на деяния «всемогущественных хакеров», образ которых прочно навязан сознанию современным кинематографом.

Результатом данной услуги является подробный отчет о текущем состоянии защитных механизмов вашего программного продукта и способах их обхода, сложности и затрат необходимых на реализацию данного способа взлома на современном этапе развития техники и исследовательского ПО. Из него руководитель может почерпнуть для себя общее качество разработки защиты программистами компании, качество реализации отдельных модулей, оценить в целом затраты на взлом защиты. Программисты компании по разработанному отчету увидят свои огрехи и места в программном коде требующие более пристального внимания. После ознакомления с подробным отчетом, разработка защитных механизмов может быть продолжена на основании данных исследования куда более целенаправленно и предметно.

Варианты тестирования защиты программных продуктов:

1. Однократное тестирование

Если Вы уверены в качестве защиты своего программного продукта и хотите лишний раз удостовериться в ее надежности, или же вы хотите первоначально проверить свой программный продукт, то этот вариант для вас.

2. Многократное тестирование

Как следствие первоначального тестирования ваш программный продукт будет подвергнут изменениям и доработке, с целью улучшения качества защитных механизмов, так же скорее всего ваш программный продукт будет регулярно подвергаться исправлениям и улучшениям. Соответственно возникает необходимость в повторном и последующих тестированиях. Именно поэтому, мы предлагаем вам заказать тестирование вашего программного обеспечения сразу на определенное число раз в течение календарного года.

3. Регулярное тестирование

Если ваш программный продукт регулярно подвергается изменениям и доработке, и вы хотите всегда содержать уровень защиты на высоком профессиональном уровне, то этот вариант для вас. Данный вариант предусматривает регулярное тестирование ПО в течение какого-то календарного периода (месяц, квартал). Вы всегда будете уверены, что ваша защита оценена на основании последних данных в данной отрасли.

В рамках данной услуги осуществляются следующие действия:

- Производится установка и первичный анализ структуры программного продукта, а также механизма его регистрации.

- Программное обеспечение осматривается на наличие внешних блоков защиты, а также модификаторов структуры, препятствующих исследованию. В случае их обнаружения, производится их устранение или обход.

- Производится дизассемблирование программного продукта с оценкой и анализом внутренней структуры.

- В программном коде ведется поиск потенциально уязвимых мест, проводится их изучение и анализ.

- Разрабатываются стратегии атаки на защиту программы.

- Программное обеспечение атакуется с использованием найденных недочетов в реализации защитных механизмов.

- Оценивается успешность проведенных атак по степени их простоты и эффективности.

- Производится атака на приложение без его модификации, если это возможно.

- Создается подробный отчет с указанием всех факторов повлиявших на ход исследования. Делаются выводы, оценивается качество реализации и взломоустойчивость защитных механизмов.

Разработка оптимальной стратегии защиты ПО

Абсолютно все фирмы, занимающиеся разработкой программного обеспечения, сталкиваются с выбором оптимальной стратегии его защиты. У каждого программного продукта своя специфика, свои методы работы, свои объекты, поэтому говорить об универсальной методике полностью гарантирующей безопасность коммерческого ПО не приходится.

Разработка оптимальной стратегии защиты программы от взлома разбивается на несколько этапов:

1. Комплексный анализ программного обеспечения, условий его распространения, используемых ресурсов и других важных деталей.

2. Оценка материально-технической возможности внедрения, тех или иных элементов защиты (некоторые виды защиты требуют дополнительной финансово-технической базы)

3. Разработка 2-3 стратегий защиты заданного программного обеспечения на основании результатов анализа и оценки.

4. Составление подробного отчета с указанием данных, полученных в результате оценки и анализа программного обеспечения, подробным описанием 2-3 стратегий защиты с указанием сильных и слабых сторон, а также с указанием нюансов внедрения каждой из стратегий.

В рамках данной услуги осуществляются следующие действия:

- Производится первичный анализ внешних факторов: условия распространения, варианты поставки, используемые компоненты, язык реализации, наличие ключевых ресурсов, приоритеты развития и другие факторы.

- Оценивается текущее состояние защитных механизмов и делается предположение об их качестве.

- Разрабатываются ключевые элементы защиты, на основании которых будут построены основные стратегии.

- Производится дополнительный анализ программного обеспечения, вырабатываются вторичные методики защиты.

- Оцениваются полученные результаты. На основании полученных оценок разрабатываются 2-3 стратегии защиты.

- Стратегии подвергаются комплексной оценке, и в случае необходимости производится их доработка.

- Все данные разработки группируются в сводные отчеты:

1. Отчет для руководителя. В данном отчете группируются все данные, полученные в результате разработки стратегии защиты, а также выводы и рекомендации по выбору стратегий. Данный отчет позволяет руководителю в полной мере оценить масштаб разработки защиты программного обеспечения, на основании представленных данных выбрать основной вариант и передать его для внедрения

2. Отчет для разработчика. Данный отчет формируется в отдельности для каждой стратегии защиты и содержит рекомендации для программиста по разработке и внедрению элементов защиты.

Тема 2.6 Средства и протоколы шифрования сообщений

Практические реализации протоколов обеспечения безопасности с применением симметричных шифраторов.

Протокол AKEP 2

Один из наиболее простых протоколов использующих ключевую хэш-функцию MAC и работающий с передачей трех сообщений для аутентификации пользователей на двух общих секретных ключах (один для поддержки протокола шифрования, другой для прокола аутентификации).

1) А генерирует и передает В случайное число rai.

2) В получает то А сообщение, добавляет к нему свое случайное число rbi и имя В и А. Вычисляет хэш-функцию на секретном ключе K, Hk(rbi, rai, A, B)=hk. Передает его вместе с {rbi, rai, A, B} корреспонденту А.

3) А принимает сообщение {rb'i, ra'i, A', B'},h'k вычисляет Hk(rb'i, ra'i, A', B') сравнивает h'k = hk и rb'i= rbi, проверяя подлинность сообщения и случайного числа.

4) Оба корреспондента вычисляют Hk(rbi)= hbk, на втором секретном ключе K2 и принимают hbk за сеансовый ключ.

Протокол SKID

В данном протоколе корреспонденты также используют ключевую хэш-функцию MAC для обеспечения безопасной передачи данных и предполагают, что А и В используют общий секретный ключ, K. Одна из модификаций протокола позволяет обеспечить аутентификацию корреспондентов:

1) А генерирует случайное число ra(согласно требованиям протокола SKID-2 64-битовое число) и посылает это число В.

2) В генерирует случайное число rb (согласно требованиям протокола SKID-2 64-битовое число), вычисляет ОНФ на ключе K следующее преобразование: Hk(rb, ra, B)=hbk , где В это ID корреспондента В, и посылает А: hbk, rb

...