6.3. Влияние деструктивных программ

Большинство из перечисленных технических путей несанкционированного доступа поддаются надежной блокировке при  правильно разработанной и реализуемой на практике системе обеспечения безопасности. Но борьба с информационными инфекциями представляет значительные трудности, так как существует и постоянно разрабатывается огромное множество деструктивных программ, цель которых — порча информации в БД и ПО компьютеров. Большое число разновидностей этих программ не позволяет разработать постоянных и надежных средств защиты против них. 

Компьютерные вирусы – это деструктивные программы, которые способны в определенном окружении (например, под управлением конкретной ОС или другого ПО) создавать свои копии и внедрять их в объекты информационной системы, например файлы программ или документов. Компьютерные вирусы могут причинить колоссальный вред вашему компьютеру. Вспомните вирус "Sasser", который инфицировал несколько сотен миллионов компьютеров в течение нескольких дней и ущерб от которого в промышленности составил несколько миллиардов долларов. Известно, что его создал скучающий 18-летний юноша просто ради шутки. 

В настоящее время вирусы и спам составляют половину всех потоков информации, передаваемых в Интернет. Последние разработки в этой зловредной области пополнились за счет программ-агентов несанкционированной слежки и программ-шпионов (соответственно adware и spyware). 

Программа-шпион часто загружается в компьютер во время навигации в Интернете или при установке какого-либо программного обеспечения, но пользователь об этом  даже не подозревает. Такая программа-шпион, внедрившись в память компьютера, может выполнять разные задачи, включая запись всех ваших действий на клавиатуре, когда вы набираете текст (возможно, именно в это время вы проводите банковские операции через Интернет) или систематизацию веб-сайтов, которые вы посещаете, отслеживая затем ваши действия на них. 

Программы adware (чаще используются для получения информации, которая затем передаётся рекламным агентствам) аналогичны предыдущим программам, только они систематизирует лично-пользовательскую компьютерную информацию в маркетинговых целях и впоследствии это может стать причиной появления множества надоедливых всплывающих рекламных заставок на экране вашего компьютера. 

Деструктивные программы классифицируются следующим образом. Логические бомбы, как вытекает из названия, используются для искажения или уничтожения информации, реже с их помощью совершаются кража или мошенничество. Манипуляциями с логическими бомбами обычно занимаются чем-то недовольные служащие, собирающиеся покинуть данную организацию, но это могут быть и консультанты, служащие с определенными политическими убеждениями и т.п.  

Реальный пример логической бомбы: программист, предвидя свое увольнение, вносит в программу расчета заработной платы определенные изменения, которые начинают действовать, когда его фамилия исчезнет из набора данных о персонале фирмы.        

Троянский конь — программа, выполняющая в дополнение к основным, т.е. запроектированным и документированным действиям, действия дополнительные, не описанные в документации. Аналогия с древнегреческим троянским конем оправдана — и в том и в другом случае в не вызывающей подозрения оболочке таится угроза. Троянский конь представляет собой дополнительный блок команд, тем или иным образом вставленный в исходную безвредную программу, которая затем  передается (дарится, продается, подменяется) пользователям ИС. Этот блок команд может срабатывать при наступлении некоторого условия (даты, времени, по команде извне и т.д.). Запустивший такую программу подвергает опасности как свои файлы, так и всю ИС в целом. Троянский конь действует обычно в рамках полномочий одного пользователя, но в интересах другого пользователя или вообще постороннего человека, личность которого установить порой невозможно. Наиболее опасные действия троянский конь может выполнять, если запустивший его пользователь обладает расширенным набором привилегий. В таком случае злоумышленник, составивший и внедривший троянского коня, и сам этими привилегиями не обладающий, может выполнять несанкционированные привилегированные функции чужими руками.          

Деструктивная вирусная программа может заражать другие программы путем включения в них модифицированной копии, обладающей способностью к дальнейшему размножению. Считается, что такая программа характеризуется двумя основными особенностями: 1) способностью к саморазмножению; 2) способностью к вмешательству в вычислительный процесс (т.е. к получению возможности управления). Наличие этих свойств, как видим, является аналогом паразитирования в живой природе, которое свойственно биологическим вирусам. В последние годы проблема борьбы с вирусами стала весьма  актуальной, поэтому очень многие занимаются ею. Используются различные организационные меры, новые антивирусные программы,  ведется пропаганда всех этих мер. В последнее время удавалось более или менее ограничить масштабы заражений и разрушений. Однако, как и   в живой природе, полный успех в этой борьбе не достигнут.     

Червь — программа, распространяющаяся через сеть и не оставляющая своей копии на магнитном носителе. Червь использует механизмы поддержки сети для определения узла, который может быть заражен. Затем с помощью тех же механизмов передает свое тело или его часть на этот узел и либо активизируется, либо ждет для этого подходящих условий. Наиболее известный представитель этого класса — вирус Морриса (червь Морриса), поразивший сеть Internet в 1988 г. Подходящей средой распространения червя является сеть, все пользователи которой считаются дружественными и доверяют друг другу, а защитные механизмы отсутствуют. Наилучший способ защиты от червя — принятие мер предосторожности против несанкционированного доступа к сети.        

Захватчик паролей — это программы, специально предназначенные для воровства паролей. При попытке обращения пользователя к терминалу системы на экран выводится информация, необходимая для  окончания сеанса работы. Пытаясь организовать вход, пользователь вводит имя и пароль, которые пересылаются владельцу программы-захватчика, после чего выводится сообщение об ошибке, а ввод и управление возвращаются к операционной системе. Пользователь, думающий, что допустил ошибку при наборе пароля, повторяет вход и получает доступ к системе. Однако его имя и пароль уже известны владельцу программы-захватчика. Перехват пароля возможен и другими способами. Для предотвращения этой угрозы перед входом в систему необходимо убедиться, что вы вводите имя и пароль именно системной программе ввода, а не какой-нибудь другой. Кроме того, необходимо  неукоснительно придерживаться правил  использования паролей и работы с системой. Большинство нарушений происходит не из-за хитроумных атак, а из-за элементарной небрежности. Соблюдение специально разработанных правил использования паролей — необходимое условие надежной защиты.   

Из числа последних деструктивных программ следует указать на SoBig и MSBlast.Эти программы атаковали компьютеры с ОС Microsoft Windows и привели к хаосу среди компаний и частных пользователей в августе и сентябре 2005г. Хотя SoBig и Blaster вызвали лишь кратковременные сбои в работе компьютерных сетей, другие подобные кибератаки, в частности печально знаменитый червь Slammer, уже нарушали работу полицейских диспетчеров, банкоматов и даже отключали от интернета всю Южную Корею. По мнению экспертов, деструктивные программы представляют потенциальную опасность и для электростанций, больниц и других жизненно важных объектов.

Многие из наиболее вредоносных вирусов распространялись через дыры в системе защиты программных продуктов Microsoft, что послужило причиной острой критики в адрес компании. Чрезвычайно широкая распространенность программного обеспечения Microsoft делает ее главным ответственным лицом за постоянные вирусные эпидемии.

Еще более изощренной деструктивной программой является червь Slammar. За считанные минуты червь, использующий уязвимость в СУБД Microsoft SQL Server 2000, наводняет Интернет. Несмотря на малый размер вируса - всего 376 байт, он может создать в каналах передачи данных настоящие пробки, поскольку после заражения компьютера вирус начинает рассылать свой код по случайным IP-адресам в бесконечном цикле. Если по какому-либо из адресов обнаруживается уязвимый компьютер, он заражается и тоже начинает рассылать копии вируса.

Все это может привести к крупномасштабному росту трафика. На пике активности червя на один сервер могли приходить сотни запросов в минуту. Не выдержав возросшей нагрузки, некоторые серверы попросту останавливаются. В это время только в США терялось до 20% IP-пакетов, что в десять раз превышает нормальный уровень. По имеющимся данным, от атаки пострадали и пять из тринадцати корневых DNS-серверов.

Наиболее сильно от атаки Slammer пострадала Южная Корея, где интернетом пользуются семь из каждых десяти жителей. 

Одной из причин катастрофических последствий атаки Slammer является невнимание системных администраторов к регулярному обновлению программного обеспечения. 

Компрометация информации (один из видов информационных инфекций).  Реализуется, как правило, посредством  несанкционированных изменений в базе данных в результате чего ее  потребитель вынужден либо отказаться от нее, либо предпринимать  дополнительные усилия для выявления изменений и восстановления истинных сведений. При использовании скомпрометированной информации потребитель подвергается опасности принятия неверных решений. 

В общей сложности сегодня существуют тысячи различных вирусных программ, которые тиражируются десятками миллионов копий. Для нормальной и безопасной работы компьютера необходимо устанавливать и регулярно обновлять антивирусные программы, а также программы и утилиты по устранению adware, троянцев и программ-шпионов).