Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта

Информационная безопасность

Сергей Колесников, editor@ci.ru

Компьютерная безопасность

Пять самых громких информационных утечек 2006 г., в результате которых пострадали около 50 млн человек

  1. Gratis Internet Company собрала личные данные 7 миллионов американцев через Интернет и затем перепродала их третьим лицам в марте 2006 г.

  2. 28,7 млн человек пострадали от утечки данных US Army veterans and servicemen в мае 2006 г.

  3. Личные данные 1,3 млн клиентов компании Texas Guaranteed могли бы знать и вы, если бы нашли потерянный ноутбук сотрудника компании в мае 2006 г.

  4. Персональная информация 11 млн членов британской компании Nationwide Building Society стала достоянием вора, который украл ноутбук сотрудника.

  5. Мобильный компьютер, содержащий личные данные служащих Affiliated Computer Services, был украден из офиса компании в октябре 2006 г. Он содержал данные об 1,4 млн человек.

Этим материалом мы начинаем цикл статей, посвященных компьютерной безопасности, в ходе которых постараемся рассмотреть программные средства защиты вычислительных устройств. Вне зависимости от их типа и местоположения. Будь то настольный ПК дома, сервер в офисе, мобильный телефон или КПК.

Введение

В целесообразности использования антивирусных средств, шлюзов или брандмауэров сложно сомневаться. Специалисты аналитического центра InfoWatch собрали и обработали данные за 2006 г., касающиеся несоблюдения пользователями правил информационной безопасности. Отмечается, что учитывались все случаи, упоминавшиеся хотя бы раз в СМИ. В результате в базу данных, содержащую нарушения (всего около 500), которые могут привести к утечке информации, за 2006 г. было добавлено более 150 записей. Приведем основные заключения, сделанные аналитическим центром, чтобы подчеркнуть глобальность проблемы.

Согласно данным обзора, 66 % нарушений из всего списка наблюдались в компаниях сектора SMB. Известно, что для компаний такого уровня конфиденциальность информации, как правило, играет ключевую роль. В банковском секторе 150 нарушений информационной безопасности из составленного списка за 2006 г. могли способствовать краже идентификационных данных 80 млн человек.

В секторе повышенного риска находились компании, руководство которых не запрещало или не контролировало использование мобильных устройств. В 50 % случаев именно они способствовали утечке важной информации, а с помощью Интернет конфиденциальные данные перестали таковыми быть в 12 % случаев.

Среди записей базы данных нарушений были отмечены 145, которые не зависят ни от размера компании, ни от ее географического местоположения. В результате, не только компании МСБ, но и, вроде бы, хорошо защищенные и контролируемые военные структуры пострадали от использования мобильных накопителей и доступа ко всемирной сети ненадежных сотрудников. Тем не менее, четко обозначить границу между количеством нарушений правил информационной безопасности в коммерческих структурах и госсекторе не представляется возможным по двум причинам. Во-первых, коммерческих компаний намного больше, а во-вторых, обнародование случаев взлома сети или утечки информации госструктурами производится лишь в случаях, когда скрыть это невозможно. Достаточно вспомнить факт, что практически каждый желающий может приобрести за символическую сумму базы данных сотовых операторов, бюро кредитных историй, паспортных данных граждан, данные компаний. Для этого нужно всего лишь спуститься в метро и приобрести диск у продавца, ненавязчиво предлагающего свой товар, или заказать его через Интернет. А реакция бывшего владельца сугубо конфиденциальной информации, как правило, сводится к следующим заявлениям: "Информация не соответствует действительности", "Это сделать невозможно" и т. п.

Что касается характера украденной информации, аналитики выделили следующую закономерность. Несмотря на большую ценность коммерческих тайн компаний, наибольший процент утерь конфиденциальных данных заняли идентификационные данные клиентов и партнеров.

Обобщив и проанализировав данные утечек информации, аналитики пришли к выводу, что в 33 % случаев были затронуты интересы относительно небольших групп. Сравнительную диаграмму процентного соотношения утечек информации и количества людей, которых это затронуло, можно увидеть на рисунке 1.

Рисунок 1. Зависимость утечек информации и количества пострадавших

Если перейти к основному вопросу "Как произошла утечка?", то мы уже отметили два основных пункта - "Мобильные устройства" (50 %) и "Интернет" (12 %). Среди других были замечены потеря или кража накопителей, содержащих важные незашифрованные данные, случайная отправка почты или факса на другой адрес. В ряде случаев причина потери информации выявлена не была. Диаграмму процентного соотношения и канала утечки также можно увидеть на рисунке 2.

Рисунок 2. Каналы утечки данных

Руководителям соответствующих подразделений не следует сразу подозревать умышленную передачу сотрудниками секретной информации. Как показало исследование, в 77 % случаев инциденты произошли в результате небрежности посвященных лиц.

Также отмечается, что в настоящее время происходит осознание важности роли информационной безопасности в развитии и функционировании компании любого уровня. А что может помочь в ее обеспечении, мы попробуем осветить в ближайших номерах.

Антивирусное ПО

Непосредственно обзор средств защиты информации начнем с антивирусов, которые призваны обеспечить функционирование ПК, без выделения программных и аппаратных средств сторонним программам.

История как вирусных, так и антивирусных средств уходит корнями в 80-е годы, когда сам вирус представлял собой примитивный код, впрочем, и антивирус был ненамного сложнее. Сразу отметим, что основные принципы как вирусописания, так и методики обнаружения вредоносного кода за последние 10 лет кардинально не изменились.

Если взглянуть глубже, то согласно данным Интернет, основные понятия в этой области берут названия из медицины. Вирусы в самом начале своей карьеры заражали файлы с расширением COM, EXE-файлы заражались несколько реже, в связи с более сложной структурой. Поэтому суть работы антивирусов, которые в то время назывались вакцинаторами, сводилась сканированию дерева каталогов и поиску нескольких сигнатур вирусов (их больше не было). Для защиты от конкретного вируса достаточно было сделать прививку. Предки современных вирусов, чтобы не заражать один и тот же файл несколько раз, ставили где-либо метку, в стиле "здесь был я". То же делали и вакцинаторы, только не записывая сигнатуру (уникальную последовательность байт, которая однозначно характеризует ту или иную вредоносную программу) в тело файла. Технология детектирования, называемая "поиск по сигнатурам", впоследствии переросла в поиск по контрольным суммам (CRC, Сyclic Redundancy Check). Такая эволюция была призвана уменьшить размер антивирусных баз и количество ложных срабатываний. Более медленный CRC-поиск использует контрольную сумму сигнатуры вируса, а также запоминает ее местоположение в файле. Однако применение вакцин стало нецелесообразным, в связи с тем, что меткой стало само тело вируса, и появились (в начале 90-х годов) полиморфные вредоносные программы.

Первый их представитель - Chameleon - умел изменять внешность тела вируса и самого расшифровщика, не оставляя ни одного постоянного байта. Настоящая смерть простым антивирусам пришла после появления в 1992 году генератора полиморфного кода MtE (Mutation Engine). После чего штаммы вирусов стали размножаться с невообразимой для того времени скоростью. Для борьбы с ними ликвидаторы вредоносного кода стали добавлять в свои программы трассировку исполняемого кода. И одним из первых на этом этапе стал Dr.Web. Однако мутировавшим вирусам и это не стало помехой.

Следующим этапом обнаружения вирусов и лечения последствий стал эмулятор инструкций вируса (Sandboxing), который был внедрен в программу AVP. Другие разработчики предложили использование статистического и криптографического анализа. При криптографическом анализе использовался базовый код вируса и известный зашифрованный код. После чего происходило восстановление ключей и алгоритма программы-расшифровщика. Использование данного метода требовало глубокой математической подготовки антивирусного эксперта, но меньшего количества аппаратных средств. Статистический анализ подразумевал построение таблицы частот использования команд процессора исполняемыми файлами и последующий ее анализ, после чего программа выдавала свой вердикт. Однако сложные "полиморфики" (полиморфные вирусы) не под силу таким сканерам.

Про сетевое распространение вирусов и, тем более, про Интернет тогда еще никто не думал. А вирусов становилось все больше, и их инкубационный период все уменьшался. И в середине 90-х годов Евгений Сусликов разработал программу Lie Detector, которая позволяла обнаруживать неизвестные вирусы. В настоящее время эта технология, которая была реализована в LD, известна под названием <эвристический анализ>. Разработчики антивирусных сканеров, зная методику работы вируса (открыть-модифицировать-закрыть) и действия, с помощью которых это можно осуществить, анализировали набор команд процессора и сигнатуры.

Программы-сканеры следующего поколения применяли комплекс методик, используемых эвристическими анализаторами и эмуляторами, и требовали больше ресурсов компьютера.

Еще одним направлением в развитии антивирусных средств явились поведенческие блокираторы, которые давали возможность исполняться программе в контролируемой среде. В случае возникновения угрозы, выполнение программы блокировалось или приостанавливалось. Возвращаясь к медицинской терминологии, отметим, что поведенческие блокираторы являются эффективным средством борьбы с компьютерными червями. В скором времени программисты научили поведенческие блокираторы анализировать последовательность действий и обращения к аппаратным ресурсам. Минусом использования такого типа антивирусных средств являлось то, что даже легитимная программа могла вызывать подозрения. Что, в свою очередь, требовало адекватных действий пользователя. С ростом популярности ПК и упрощения пользовательского интерфейса программ, упрощался интерфейс и антивирусов, что свело к минимуму использование или несколько изменило принцип работы вышеперечисленных технологий. В общем, можно отметить, что основные технологии детектирования используются в антивирусных средствах до сих пор.

Эпоха правления MS DOS закончилась в середине 90-х, и на смену ему явилась Windows 95. Тогда и вирусописатели, и их противники столкнулись с вопросами многозадачности, фоновых проверок и т. п. Первые думали, как это можно использовать, а вторые - как бороться с тем, что придумают первые. В результате появились антивирусные мониторы, "пропускающие через себя" все происходящее в системе, а также технологии борьбы с макровирусами для MS Office.

Аналитики отмечают, что если в 90-х необходима была вакцина, то ближе к новому тысячелетию такая вакцина была найдена - повсеместное внедрение и распространение Интернет. Однако эта вакцина инициировала мутацию вирусов во вредоносные программы: трояны, spyware и другие, которые получили общее название PUP (Potentially Unwanted Programs).

В настоящее время работы по обнаружению, лечению и предотвращению проникновения вредоносных программ направлены не только на защиту ПК, но и обеспечение "щитом непробиваемости" Интернет-шлюзов, почтовых и принт-серверов, контроль HTTP, FTP, POP, SMTP, P2P-протоколов. А в скором времени следует ожидать большого количества релизов компаний о разработке антивирусных программ для телефонов, КПК и других мобильных устройств. Отметим, что мы привели далеко не весь перечень существующих технологий детектирования вредоносных программ и осветили глубину их функционирования. Однако этих данных нам достаточно для перехода к следующему пункту.

На что обращать внимание при выборе антивируса

Основой антивирусной программы является так называемый движок, который обеспечивает проверку объектов и обнаружение вредоносных программ. Если говорить научным языком, Anti-Virus Engine - это программный модуль, который предназначен для детектирования вредоносного программного обеспечения.

Естественно, каждый разработчик утверждает, что его движок не имеет аналогов в мире, что он самый быстрый, обнаруживает известные и неизвестные вредоносные программы и их модификации. Мы не будем говорить: "Этот антивирус - хороший, а этот - плохой". Если трезво взглянуть на количество игроков, существующих на рынке антивирусной безопасности хотя бы пару лет, можно отметить, что каждый из них заслужил свое место под солнцем. Бесплатностью, скоростью работы, оперативностью обновлений, размером обновлений, пользовательским интерфейсом, требовательностью к ресурсам ПК - у каждого пользователя свои критерии. Кроме того, есть ряд Интернет-изданий, которые регулярно устраивают популярным антивирусным программам crash-тесты, используя различные коллекции вирусов. Согласитесь, что, если разработчик утверждает, что его программа детектирует 100 % вирусов, - стоит задуматься. Как мы уже отмечали выше, за определение неизвестных вирусов отвечает эвристический анализатор. А установить движок в состояние, когда вирус определяется там, где его нет, крайне нецелесообразно, хотя бы из-за неудобства работы и возможности пропустить действительно вредоносную программу.

Немаловажным фактором при выборе антивируса является поддержка большого количества упаковщиков и архиваторов. А также реальная сервисная поддержка и своевременный выпуск обновлений антивирусных баз. Если обновление содержит данные об одном вирусе и имеет объем в 1 МБ - это также наводит на мысли о продуманности антивирусной базы и качестве реализации самого движка.

По материалам Интернет

(Продолжение следует)

Рубрики || Работа || Услуги || Поиск || Архив || Дни рождения
О "КИ" || График выхода || Карта сайта || Подписка

Рассылка анонсов газеты по электронной почте

Главная страница

Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл 77-4461 от 2 апреля 2001 г.
Перепечатка материалов без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.

Телефон редакции (812) 718-6666, 718-6555.
Адрес: 196084, СПб, ул.Заставская, д.23, БЦ "Авиатор", 3-й этаж, офис 307
e-mail: editor@ci.ru
Для пресс-релизов и новостей news@ci.ru