Архитектура на сигурността

© Христо Тужаров, януари 2010 

 

ВРЕДОНОСНИ ПРОГРАМИ

 

[Home] [Съдържание] [Асеневци] [Студентите] [Консултации]

 

ЗАПЛАХИ ЗА ИНФОРМАЦИОННАТА СИГУРНОСТ

 

Източници на заплаха

 

 Анализ на заплахите

 

МЕТОДИ ЗА РЕАЛИЗИРАНЕ НА ЗАПЛАХИТЕ

 

Класификация на заплахите

 

ЗАПЛАХИ ЗА ДОСТЪП

 

ЗАПЛАХИ ЗА МОДИФИЦИРАНЕ

 

ВИРУСИ

 

КЛАСИФИКАЦИЯ НА ВИРУСИТЕ

 

ВРЕДОНОСНИ ПРОГРАМИ

Вредоносна  програма malware, malicious software

Всяко програмно осигуряване, предназначено за получаване на несанкциониран достъп до ресурсите на компютъра или до информация съхранявана в компютъра, с цел причинаване на вреда чрез копиране, изкривяване, премахване или подмяна на информация.

 

                Санкциониран достъп до информация (authorized access to information) — достъп до информация, не нарушаващ правилата за разграничаване на досъпа.

 

                Несанкциониран достъп до информация (unauthorized access to information) — достъп до информация, нарушаващ правилата за разграничаване на досъпа с използване на програмни и апаратни средства.

 

                Правила за разграничаване на достъпа (access mediation rules) — съвкупност от правила, регламентиращи правата на досъп за субектите на достъпа до обектите на достъпа.

 

              Определение на  Microsoft

Вредоносна програма (malware) — това е съкращение от „malicious software“, обикновено изпозвано като общоприет термин за обозначаване на всяко програмно осигуряване, специално създадено за да причинява вреда на отделен компютър, сървър или компютърна мрежа, независимо явява ли се програмното осигуряване вирус, шпионска програма и т.н.

 

История на вредоносните програми

 

 

История на вредоносните програми

 

  • Доисторически етап - вируси-легенди и документално  потвърдени инциденти на мейнфрейм компютри; 1970-80-те  години;

  • Доинтернетовски етап - основно класически вируси за MS-DOS;

  • Интернет етап - многобройни червеи, епидимии, водещи до значими загуби;

  • Криминален етап - използване на Интернет за престърни цели.

Класификация на вредоносните програми

Всяка компания, разработчик на антивирусно програмно осигуряване създава собствена корпоративна класификация и номенклатура на вредоносните програми.

 

       Класификация на лабораторията Касперски на вредоносни програми

 

             Лаборатория Касперски – най-голямата европейска компания, специализирана в разработката на антивирусен софтуер.

 

В класификацията на Касперски, представено по - долу вирусите и червеите са разделят по начина на размножаване, а останалите вредоносни програми – по извършваните от тях действия.

 

Класификация на лабораторията Касперски на вредоносни програми 

 

                      Класификация по метода на размножаване

Експлойт (Exploit) - компютърна програма, е софтуерен код, или поредица от команди на процесора, използващи уязвимости в програмното осигуряване, с цел предизвикване на нежелано или неочаквано поведение за  придобиване контрол над компютъра. Използват се методи известни, като ескалация на привилегиите или DoS-атака.

Логическая бомба (Logic bomb) — програма, която се стартира при определени временни или информационни условия за осъществяване на вредоносни действия. Много вредоносни програми, такива като вируси или червеи често съдържат логически бомби (например петък, 13 ден). Към логоческите бомби като правило се отнася код, който води към неизвестни предварително действия ( например за потребители на условно безплатни програми с изтекъл зададен срок).

Троянска програма - няма собствен механизъм за размножаване. Явява се вредоносна програма, сложността на която зависи от сложността на задачата и средствата за маскировка.

Компютърен вирус  - размножава се в пределите на компютъра и чрез сменяемите носители - диск, флаш памет.

Мрежов червей - самостоятелно се размножава в комуникационни мрежи. Делят се на  IRC-, пощтенски, разможаващи се с помощта на експлойти и т. н.

Вредоносните програми могат да образуват вериги: например чрез експлойт (1) се активира логическа бомба  (2), която вмъква от Интернет червей (5).

      Обобщена класификация на вредоносни програми

Много компание приемат представената по-долу класификация, която е ориентирана към устояли във времето и разпространени направления на развитие на вредоносните програми.

 

 

Обобщена класификация на вредоносни програми

 

Crimeware

Crimeware — категория вредоносни програми, разработени специално за автоматизиране на финансови престъпления.

 

       Представители:на Crimeware

  • Програми, проследяващи на екрана, включването към банковата система, с цел прихващане на въвежданата секретна информация.

  • Програми, копиращи съдържимото на буфера за обмен в момента на включване към системата за елесктронни разплащания. Идеята е че потребителя ще копира паролата от друго място през буфера за обмен.

Spyware

Spyware — категория вредоносни програми, използвани за несанкционирано следене за действията на потребителя и несанкционирано от него събиране на информация.

 

            Представители на Spyware

  • Програми (Keylogger), записващи всички натиснати от потребителя клавиши в лог-файл за последващо предаване съхранената информация.  последующей передачи сохраненной информации злоумышленнику;

  • Програми, събиращи без знанието на потребителя различна информация ( адреси на ел.поща).

Ransomware

Ransomware — категория вредоносни програми, блокиращи данните или работоспособността на компютъра жертва.

 

Използват се за изнудване на потребителя на блокирания компютър.

 

           Примери за Ransomware:

Като примери могат да бъдат посочени - Trojan-Ransom.Win32.Gpcode и Trojan-Ransom.Win32.Krotten.

  • Gpcode извършва шифриране на файлове, избирайки в качеството на мишена най - ценните документи, база данни и т.н., след което  изпраща съобщение с указани координати, където ще помогнат за възстановяване на данните.

  • Krotten извършва промени в системния регистър  по такъв начин, че с компютъра е невъзможно да се работи. Възстановяване 9 след заплащане.

Bot-clients

Bot-clients — категория вредоносни програми, предназначени за обединяване на поразените компютри в бот-мрежи (зомби-мрежи) с цел оталечено централизирано управление на цялото множество от поразени компютри.

 

            Примери за Bot-clients

DDoS-атаки, осъществявани против избрани жертви в  мрежата.