Глава 1. Компьютер как средство автоматизации информационных процессов

1.История развития ВТИстория развития ВТ 2.Архитектура ПКАрхитектура ПК 3.Операционные системыОперационные системы 4.Защита от несанкционированного доступаЗащита от несанкционированного доступа 5.Физическая защита данных на дискахФизическая защита данных на дисках 6.Защита от вредоносных программ 1.Вредоносные и антивирусные программыВредоносные и антивирусные программы 2.Компьютерные вирусы и защита от нихКомпьютерные вирусы и защита от них 3.Сетевые черви и защита от нихСетевые черви и защита от них 4.Троянские программы и защита от нихТроянские программы и защита от них 5.Хакерские утилиты и защита от нихХакерские утилиты и защита от них 2

Физическая защита данных на дисках

Redundant Arrays of Inexpensive Disks Для обеспечения большей скорости чтения/записи и надежности хранения данных используются RAID-массивы (избыточный массив независимых дисков) RAID- контроллер объединяет жесткие диски в единое логическое устройство. 4

RAID-массивы Реализация RAID-массива: Аппаратная (несколько жестких дисков управляются специальной платой) Программная (с помощью драйвера объединяются логические разделы диска) Существует несколько разновидностей (уровней RAID-массива) Дисковый RAID массив Maxtronic SA-4551S 5

Уровень 0 Разделение потока данных между несколькими дисками. + увеличение скорости ввода/вывода пропорционально числу дисков. - при отказе одного из дисков будут утрачены все данные. 6

Уровень 1 Организация "зеркальных" дисков (информация дублируется на зеркальном диске) + при выходе из строя основного диска его заменяет "зеркальный". -Скорость обмена информации не увеличивается -Фактическое сокращение дискового пространства 7

Вредоносные и антивирусные программы

ВРЕДОНОСНЫЕ ПРОГРАММЫ Вредоносные программы – это программы, наносящие вред данным и программам, хранящимся на компьютере. За создание, использование и распространение вредоносных программ в России и большинстве стран предусмотрена уголовная ответственность 9

ПЕРВЫЕ ВРЕДОНОСНЫЕ И АНТИВИРУСНЫЕ ПРОГРАММЫ Первый вирус, появившийся в июле 1982 г., был написан 15-летним школьником Ричем Скрента (Rich Skrenta) для платформы Apple II и относился к категории загрузочных. Он распространялся, заражая код загрузочных секторов дискет для операционной системы Apple II. При загрузке компьютера вирус оставался в памяти и заражал все дискеты, которые вставлялись в дисковод. Жертвами вируса стали компьютеры друзей и знакомых автора, а также его учитель математики. Первый антивирус всего лишь на два года младше своего врага. В 1984 г. программист Анди Хопкинс (Andy Hopkins) написал утилиты, позволяющие перехватывать некоторые операции, выполняемые через BIOS, а также анализировать загрузочный модуль, что давало возможность бороться с некоторыми типами вирусов того времени. Как многие старые вирусы, Elk Cloner отличался визуальными проявлениями: при каждой 50-й загрузке он показывал короткое стихотворение («Elk Cloner - это уникальная программа. Она проникнет на все ваши диски, профильтрует ваши чипы. О да, это Cloner. Она приклеится к Вам, как клей. Программа способна изменить и RAM. Пустите к себе Cloner»). 10

ТИПЫ ВРЕДОНОСНЫХ ПРОГРАММ Компьютерные вирусы, сетевые черви, троянские программы хакерские утилиты Наиболее распространенные и опасные Рекламное, Шпионское ПО, программы скрытого дозвона Потенциально опасное ПО, может причинить неудобства пользователю или нанести ущерб Потенциально опасное ПО ПО не является вредоносным или опасным, но в некоторых условиях может нанести вред компьютеру 11

АНТИВИРУСНЫЕ ПРОГРАММЫ Принцип работы антивирусных программы основан на проверке файлов, загрузочных секторов дисков и оперативной памяти и поиске в них известных и новых вирусов. Для поиска известных вирусов используются сигнатуры, т.е. некоторые постоянные последовательности двоичного кода, специфичные для конкретного вируса. Для поиска новых вирусов используются алгоритмы эвристического сканирования, т.е. анализ последовательности команд в проверяемом объекте. Большинство антивирусных программ сочетает в себе функции постоянной защиты (антивирусный монитор) и функции защиты по требованию пользователя (антивирусный сканер). 12

ПРИЗНАКИ ЗАРАЖЕНИЯ КОМПЬЮТЕРА Вывод на экран непредусмотренных сообщений или изображений Подача непредусмотренных звуковых сигналов Неожиданное открытие и закрытие лотка CD/DVD дисковода Произвольный запуск на компьютере каких-либо программ Частые «зависания» и сбои в работе компьютера Медленная работа компьютера при запуске программ Исчезновение или изменение файлов и папок Частое обращение к жесткому диску «Зависание» или неожиданное поведение браузера 13

ДЕЙСТВИЯ ПРИ НАЛИЧИИ ПРИЗНАКОВ ЗАРАЖЕНИЯ КОМПЬЮТЕРА 1. Сохранить результаты работы на внешнем носителе 2. Отключить компьютер от локальной сети и Интернета, если он к ним был подключен 3. Загрузиться в режиме защиты от сбоев или с диска аварийной загрузки Windows (если компьютер выдает ошибку, когда вы его включаете) 4. Запустить антивирусную программу 14

Компьютерные вирусы и защита от них

КОМПЬЮТЕРНЫЕ ВИРУСЫ Компьютерные вирусы - это вредоносные программы, которые могут «размножаться» и скрытно внедрять свои копии в исполнимые файлы, загрузочные секторы дисков и документы. После заражения компьютера вирус может начать выполнение вредоносных действий и распространение своих копий, а также заставлять компьютер выполнять какие-либо действия. Активация компьютерного вируса может вызывать уничтожение программ и данных и может быть связана с различными событиями (наступлением определенной даты или дня недели, запуском программ, открытием документа и т.д.). 16

КЛАССИФИКАЦИЯ ВИРУСОВ По величине вредных воздействий: НЕОПАСНЫЕ (последствия действия вирусов - уменьшение свободной памяти на диске, графические и звуковые эффекты) ОПАСНЫЕ (последствия действия вирусов - сбои и «зависания» при работе компьютера) ОЧЕНЬ ОПАСНЫЕ (последствия действия вирусов - потеря программ и данных форматирование винчестера и т.д.) 17

КЛАССИФИКАЦИЯ ВИРУСОВ По способу сохранения и исполнения своего кода: ЗАГРУЗОЧНЫЕ ФАЙЛОВЫЕ МАКРО-ВИРУСЫ СКРИПТ-ВИРУСЫ 18

ЗАГРУЗОЧНЫЕ ВИРУСЫ Загрузочные вирусы заражают загрузочный сектор гибкого или жесткого диска. При заражении дисков загрузочные вирусы «подставляют» свой код вместо программы, получающей управление при загрузке системы, и отдают управление не оригинальному коду загрузчика, а коду вируса. Профилактическая защита от таких вирусов состоит в отказе загрузки операционной системы с гибких дисков и установке в BIOS компьютера защиты загрузочного сектора от изменений. В 1986 году началась первая эпидемия загрузочного вируса. Вирус-невидимка «Brain» «заражал» загрузочный сектор дискет. При попытке обнаружения зараженного загрузочного сектора вирус незаметно «подставлял» его незараженный оригинал. 19

ФАЙЛОВЫЕ ВИРУСЫ Файловые вирусы внедряются в исполняемые файлы (командные файлы *.bat, программы *.exe, системные файлы *.com и *.sys, программные библиотеки *.dll и др.) и обычно активируются при их запуске. После запуска зараженного файла вирус находится в оперативной памяти компьютера и является активным (т.е. может заражать другие файлы) вплоть до момента выключения компьютера или перезагрузки операционной системы. По способу заражения файловые вирусы разделяют на перезаписывающие вирусы, вирусы-компаньоны и паразитические вирусы. Профилактическая защита от файловых вирусов состоит в том, что не рекомендуется запускать на исполнение файлы, полученные из сомнительного источника и предварительно не проверенные антивирусными программами. В 1999 году началась эпидемия файлового вируса Win95.CIH, названного «Чернобыль» из-за даты активации 26 апреля. Вирус уничтожал данные на жестком диске и стирал содержание BIOS. 20

МАКРО-ВИРУСЫ Макро-вирусы заражают документы, созданные в офисных приложениях. Макро-вирусы являются макрокомандами (макросами) на встроенном языке программирования Visual Basic for Applications (VBA), которые помещаются в документ. Профилактическая защита от макро-вирусов состоит в предотвращении запуска вируса (запрете на загрузку макроса). Макро-вирусы являются ограниченно- резидентными, т.е. они находятся в оперативной памяти и заражают документ, пока он открыт. Макро-вирусы заражают шаблоны документов. В 1995 году началась эпидемия первого макро-вируса «Concept» для текстового процессора Microsoft Word. Макро-вирус «Concept» до сих пор широко распространен. 21

СКРИПТ-ВИРУСЫ Скрипт-вирусы – активные элементы (программы) на языках JavaScript или VBScript, которые могут содержаться в файлах Web-страниц. Заражение локального компьютера происходит при их передаче по Всемирной паутине с серверов Интернета в браузер локального компьютера. Профилактическая защита от скрипт-вирусов состоит в том, что в браузере можно запретить получение активных элементов на локальный компьютер. В 1998 году появился первый скрипт-вирус VBScript.Rabbit, заражающий скрипты Web-страниц, а в мае 2000 года грянула глобальная эпидемия скрипт-вируса «LoveLetter». 22

Сетевые черви и защита от них

СЕТЕВЫЕ ЧЕРВИ Сетевые черви - это вредоносные программы, которые проникают на компьютер, используя сервисы компьютерных сетей: Всемирную паутину, электронную почту, интерактивное общение, файлообменные сети и т.д. Многие сетевые черви используют более одного способа распространения своих копий по компьютерам локальных и глобальных сетей. Активация сетевого червя может вызывать уничтожение программ и данных, а также похищение персональных данных пользователя. 24

WEB-ЧЕРВИ Web-черви для своего распространения используют Web- серверы. Заражение: 1.Червь проникает на сервер и модифицирует web-страницы 2.Пользователь открывает модифицированную страницу в браузере Разновидность web-червя – скрипты (программы) на языках JavaScript, VBScript Профилактическая защита от таких червей состоит в том, что в браузере можно запретить получение активных элементов на локальный компьютер. Существуют web-антивирусные программы, кот включают межсетевой экран и модуль проверки скриптов. 25

МЕЖСЕТЕВОЙ ЭКРАН Межсетевой экран (брандмауэр) – это программное или аппаратное обеспечение, которое проверяет информацию, поступающую из сети. Межсетевой экран проверяет все web-страницы, поступающие на компьютер пользователя Распознавание вредоносных программ происходит на основании баз Если при открытии web-страницы обнаружена угроза, то загрузка web-страницы блокируется, а пользователю выдается соответствующее сообщение 26

Проверка скриптов в браузере Проверка скриптов в браузере производится следующим образом: Каждый запускаемый на web-странице скрипт перехватывается и анализируется Если найден вредоносный код, модуль проверки блокирует его исполнение и выдает сообщение пользователю Если в скрипте не обнаружено вредоносного кода, то он выполняется 27

ПОЧТОВЫЕ ЧЕРВИ Почтовые черви для своего распространения используют электронную почту. Червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе. Код червя активируется при открытии (запуске) зараженного вложения или при открытии ссылки на зараженный файл. Профилактическая защита от почтовых червей состоит в том, что не рекомендуется открывать вложенные в почтовые сообщения файлы, полученные из сомнительных источников. 28

ЧЕРВИ, ИСПОЛЬЗУЮЩИЕ ФАЙЛООБМЕННЫЕ СЕТИ Для внедрения в файлообменную сеть червь копирует себя в папку обмена файлами на одном из компьютеров. В 2001 году стал стремительно распространяться сетевой червь «Nimda», который атаковал компьютеры сразу несколькими способами: через сообщения электронной почты, через открытые ресурсы локальных сетей, а также используя уязвимости в системе безопасности операционной системы серверов Интернета. Профилактическая защита от таких сетевых червей состоит в том, что рекомендуется своевременно скачивать из Интернета и обновлять антивирусную программу и вирусную базу данных. 29

Троянские программы и защита от них

ТРОЯНСКИЕ ПРОГРАММЫ Троянская программа, троянец (от англ. trojan) – вредоносная программа, которая выполняет несанкционированную пользователем передачу управления компьютером удаленному пользователю, а также действия по удалению, модификации, сбору и пересылке информации третьим лицам. Троянские программы обычно проникают на компьютер как сетевые черви, а различаются между собой по тем действиям, которые они производят на зараженном компьютере. 31

ТРОЯНСКИЕ ПРОГРАММЫ Количество обнаруживаемых аналитиками "Лаборатории Касперского" новых "троянских" программ 32

ТРОЯНСКИЕ УТИЛИТЫ УДАЛЕННОГО АДМИНИСТРИРОВАНИЯ Утилиты скрытого управления позволяют принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т. д. При запуске троянец устанавливает себя в системе и затем следит за ней, при этом пользователю не выдается никаких сообщений о действиях троянской программы в системе. В 2003 году широкое распространение получила троянская программа Backdoor.Win32.ВО, которая осуществляет следующие действия: высылает имена компьютера, пользователя и информацию о системе: тип процессора, размер памяти, версию системы, информацию об установленных устройствах; посылает/принимает, уничтожает, копирует, переименовывает, исполняет любой файл; отключает пользователя от сети; читает или модифицирует системный реестр. 33

ТРОЯНСКИЕ ПРОГРАММЫ - ШПИОНЫ Троянские программы ворующие информацию, при запуске ищут файлы, хранящие конфиденциальную информацию о пользователе (банковские реквизиты, пароли доступа к Интернету и др.) и отсылают ее по указанному в коде троянца электронному адресу или адресам. Троянцы данного типа также сообщают информацию о зараженном компьютере (размер памяти и дискового пространства, версию операционной системы, IP-адрес и т. п.). Некоторые троянцы воруют регистрационную информацию к программному обеспечению. 34

ТРОЯНСКИЕ ПРОГРАММЫ - ШПИОНЫ Данные троянцы осуществляют электронный шпионаж за пользователем зараженного компьютера: вводимая с клавиатуры информация, снимки экрана, список активных приложений и действия пользователя с ними сохраняются в каком-либо файле на диске и периодически отправляются злоумышленнику. Троянские программы этого типа часто используются для кражи информации пользователей различных систем онлайновых платежей и банковских систем. Троянские программы часто изменяют записи системного реестра операционной системы, поэтому для их удаления необходимо в том числе восстановление системного реестра. 35

ТРОЯНСКИЕ ПРОГРАММЫ – ИНСТАЛЛЯТОРЫ ВРЕДОНОСНЫХ ПРОГРАММ Троянские программы этого класса скрытно инсталлируют другие вредоносные программ и используются для «подсовывания» на компьютер-жертву вирусов или других троянских программ. Загруженные без ведома пользователя из Интернета программы либо запускаются на выполнение, либо включаются троянцем в автозагрузку операционной системы. 36

Хакерские утилиты и защита от них

СЕТЕВЫЕ АТАКИ Сетевые атаки - направленные действия на удаленные серверы для создания затруднений в работе или утери данных Сетевые атаки на удаленные серверы реализуются с помощью специальных программ, которые посылают на них специфические запросы. Это может приводить к отказу в обслуживании «зависанию» сервера. 38

СЕТЕВЫЕ АТАКИ DoS-программы (от англ. Denial of Service – отказ в обслуживании) реализуют атаку с одного компьютера с ведома пользователя. DoS-программы обычно наносят ущерб удаленным компьютерам и сетям, не нарушая работоспособность зараженного компьютера. Некоторые сетевые черви содержат в себе DoS-процедуры, атакующие конкретные сайты. Так, червь «Codered» 20 августа 2001 года организовал успешную атаку на официальный сайт президента США, а червь «Mydoom» 1 февраля 2004 года «выключил» сайт компании – производителя дистрибутивов UNIX. 39

СЕТЕВЫЕ АТАКИ DDoS-программы (от англ. Distributed DoS – распределенный DoS) реализуют распределенные атаки с разных компьютеров, причем без ведома пользователей зараженных компьютеров. Для этого DDoS-программа засылается на компьютеры «жертв-посредников» и после запуска в зависимости от текущей даты или по команде от хакера начинает сетевую атаку на указанный сервер в сети. Некоторые хакерские утилиты реализуют фатальные сетевые атаки. Такие утилиты используют уязвимости в операционных системах и приложениях и отправляют специально оформленные запросы на атакуемые компьютеры в сети. В результате сетевой запрос специального вида вызывает критическую ошибку в атакуемом приложении, и система прекращает работу. Чаще всего при проведении DDoS-атак злоумышленники используют трехуровневую архитектуру 40

УТИЛИТЫ «ВЗЛОМА» УДАЛЁНЫХ КОМПЬЮТЕРОВ Утилиты «взлома» удаленных компьютеров обычно используют уязвимости в операционных системах или приложениях, установленных на атакуемом компьютере. Утилиты «взлома» удаленных компьютеров предназначены для проникновения в удаленные компьютеры с целью дальнейшего управления ими (используя методы троянских программ типа утилит удаленного администрирования) или для внедрения во «взломанную» систему других вредоносных программ Профилактическая защита от «взлома» состоит в своевременной загрузке из Интернета обновлений системы безопасности операционной системы и приложений. 41

РУТКИТЫ Руткит (от англ. root kit - «набор для получения прав root») - программа или набор программ для скрытного взятия под контроль «взломанной» системы. В операционной системы UNIX под термином «rootkit» понимается набор утилит, которые хакер устанавливает на «взломанном» им компьютере после получения первоначального доступа. В операционной системе Windows под rootkit принято подразумевать программу, которая внедряется в систему и перехватывает системные функции. Многие rootkit устанавливают в систему свои драйверы и службы (они также являются «невидимыми»). Количество новых руткитов, обнаруженных аналитиками «Лаборатории Касперского» в 2007 году 42

ЗАЩИТА ОТ ХАКЕРСКИХ АТАК И СЕТЕВЫХ ЧЕРВЕЙ Защита компьютерных сетей или отдельных компьютеров от несанкционированного доступа может осуществляться с помощью межсетевого экрана, или брандмауэра (от англ. firewall). Межсетевой экран позволяет: 1. блокировать хакерские DoS-атаки, не пропуская на защищаемый компьютер сетевые пакеты с определенных серверов (определенных IP-адресов или доменных имен); 2. не допускать проникновение на защищаемый компьютер сетевых червей (почтовых, Web и др.); 3. препятствовать троянским программам отправлять конфиденциальную информацию о пользователе и компьютере. Межсетевой экран может быть реализован как аппаратно, так и программно. Межсетевые экраны ZyXEL - защита сети от вирусов, спама, сетевых атак. 43

КОМПЬЮТЕРНЫЙ ПРАКТИКУМ Настройка Центра безопасности Windows 44