Управление рисками обзор употребительных подходов



             

Вредоносное программное обеспечение


Одним из опаснейших видов атак является внедрение в атакуемые системы вредоносного программного обеспечения.

Мы выделим следующие грани вредоносного ПО:

  • вредоносная функция;
  • способ распространения;
  • внешнее представление.

Часть, осуществляющую вредоносную функцию, будем называть "бомбой". Вообще говоря, спектр вредоносных функций неограничен, поскольку "бомба", как и любая другая программа, может характеризоваться сколь угодно сложной логикой, но обычно "бомбы" предназначаются для:

  • внедрения другого вредоносного ПО;
  • получения контроля над атакуемой системой;
  • агрессивного потребления ресурсов;
  • изменения или разрушения программ и/или данных.

По механизму распространения различают:

  • вирусы — код, обладающий способностью к распространению (возможно, с изменениями) путем внедрения в другие программы;
  • "черви" — код, способный самостоятельно, то есть без внедрения в другие программы, вызывать распространение своих копий по информационной системе и их выполнение (для активизации вируса требуется запуск зараженной программы).

Обычно вирусы распространяются локально, в пределах узла сети; для передачи по сети им требуется внешняя помощь, такая как пересылка зараженного файла. "Черви", напротив, ориентированы в первую очередь на сетевые "путешествия".

Иногда само распространение вредоносного ПО вызывает агрессивное потребление ресурсов и, следовательно, является вредоносной функцией. Например, "черви" "съедают" полосу пропускания сети и ресурсы почтовых систем. По этой причине для атак на доступность они не нуждаются во встраивании специальных "бомб".

Вредоносный код, обладающий внешним представлением в виде функционально полезной программы, называется троянским. Например, некогда "нормальная" программа, будучи пораженной вирусом, становится троянской. Порой троянские программы изготавливают вручную и подсовывают доверчивым пользователям в какой-либо привлекательной упаковке.

Отметим, что данные нами определения и приведенная классификация вредоносного ПО отличаются от общепринятых. Например, в ГОСТ Р 51275-99 "Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения" содержится следующее определение:

"Программный вирус — исполняемый или интерпретируемый программный код, обладающий свойством несанкционированного распространения и самовоспроизведения в автоматизированных системах или телекоммуникационных сетях с целью изменить или уничтожить программное обеспечение и/или данные, хранящиеся в автоматизированных системах".

На наш взгляд, подобное определение неудачно, поскольку в нем смешаны функциональные и транспортные аспекты.

Окно опасности для вредоносного ПО появляется с выпуском новой разновидности "бомб", вирусов и/или "червей" и перестает существовать с обновлением базы данных антивирусных программ и наложением других необходимых "заплат".

Вероятно, по какой-то традиции, из всего вредоносного ПО наибольшее внимание общественности приходится на долю вирусов. Однако до марта 1999 года с полным правом можно было утверждать, что несмотря на экспоненциальный рост числа известных вирусов, аналогичного роста количества инцидентов, вызванных ими, не зарегистрировано. Соблюдение несложных правил компьютерной гигиены сводит риск заражения практически к нулю. Там где работают, а не играют, число зараженных компьютеров составляет лишь доли процента.

В марте 1999 года, с появлением вируса Melissa, ситуация кардинальным образом изменилась. Melissa — это макровирус для файлов MS-Word, распространяющийся посредством электронной почты в присоединенных файлах. Когда такой (зараженный) присоединенный файл открывают, он рассылает свои копии по первым 50 адресам из адресной книги Microsoft Outlook. В результате почтовые серверы подвергаются атаке на доступность.

В данном случае отметим два момента.




Содержание  Назад  Вперед