Большинство из перечисленных выше видов угроз (например, путей несанкционированного доступа) поддаются надежной блокировке при правильно разработанной и реализуемой на практике системе обеспечения безопасности. Но борьба с информационными инфекциями представляет значительные трудности, так как существует и постоянно разрабатывается огромное множество вредоносных программ, направленных на порчу информации в БД и ПО ЭВМ. Большое число разновидностей этих программ не позволяет разработать постоянных и надежных средств защиты против них.
«Логические бомбы» – как вытекает из названия используются для искажения или уничтожения информации, реже с их помощью совершается кража или мошенничество. Манипуляциями с «логическими бомбами» обычно занимаются чем-то недовольные служащие, собирающиеся покинуть данную организацию, но это могут быть и консультанты, служащие с определенными политическими убеждениями и т. д.
Реальный пример «логической бомбы»: программист, предвидя свое увольнение, вносит в программу расчета заработной платы определенные изменения, работа которых начинается, если его фамилия исчезнет из набора данных о персонале фирмы.
«Троянский конь» – программа, выполняющая в дополнение к основным, т. е. запроектированным и документированным действиям, действия дополнительные, но не описанные в документации. Аналогия с древнегреческим Троянским конем оправдана – и в том и другом случае в не вызывающей подозрения оболочке таится угроза. «Троянский конь» представляет собой дополнительный блок команд, тем или иным образом вставленный в исходную безвредную программу, которая затем передается (дарится, продается, подменяется и т. д.) пользователям АИС. Этот блок команд может срабатывать при наступлении некоторого условия (даты, времени, по команде извне и т. д.). Запустивший такую программу подвергает опасности как свои файлы, так и всю АИС в целом. «Троянский конь» действует обычно в рамках полномочий одного пользователя, но в интересах другого пользователя или вообще постороннего человека, установить личность которого порой невозможно.
Наиболее опасные действия «Троянский конь» может выполнять, если запустивший его пользователь обладает расширенным набором привилегий. В таком случае злоумышленник, составивший и внедривший «Троянского коня», и сам этими привилегиями не обладающий, может выполнять несанкционированные привилегированные функции чужими руками.
Известен случай, когда преступная группа смогла договориться с программистом фирмы, работающим над банковским программным обеспечением, о том, чтобы он ввел подпрограмму, которая предоставит этим преступникам доступ в систему после ее установки с целью переместить денежные вклады. Известен другой случай, когда фирма, разрабатывающая ПО, стала объектом домогательств другой фирмы, которая хотела выкупить программы и имела тесную связь с преступным миром. Преступная группа, если она удачно определит место для внедрения «троянского коня», например, включит его в АИС, где имеются программные средства, занятые выдачей денежных средств или дорогих товаров (с «оплатой» через фиктивные банковские кредитные карты), может безмерно обогатиться. Для защиты от этой угрозы желательно, чтобы привилегированные и непривилегированные пользователи работали с различными экземплярами прикладных программ, которые должны храниться и защищаться индивидуально. Организационные мероприятия для защиты систем информационной безопасности, которые при их полном выполнении достаточно эффективны, должны исключать дарение и покупку машинных носителей с неизвестным или не проверенным тщательно содержанием, должны исключать легкомысленный ввод информации с носителя, не прошедшего тщательного обследования, поскольку этот носитель может содержать «троянского коня». Рекомендуемые организационные мероприятия и набор правил работы с носителями описаны ниже.
Вирус – программа, которая может заражать другие программы путем включения в них возможно модифицированной копии, которая в свою очередь сохраняет возможность к дальнейшему размножению. Такое определение появилось вместе с первыми с первым изученным вирусом.
Считается, что вирус характеризуется двумя основными особенностями:
- Способностью к саморазмножению.
- Способностью к вмешательству в вычислительный процесс (т. е. к получению возможности управления).
Наличие этих свойств, как видим, является аналогом «паразитирования» в живой природе, которое свойственно биологическим вирусам. В последние годы проблема борьбы с вирусами стала весьма актуальной, так как количество разработанных и пускаемых на инфицирование информации, ПО и даже на порчу технических средств вирусов растет. Соответственно очень многие специалисты по ПО, специалисты по организации работы компьютеров занимаются вопросами борьбы с вирусами. Используются различные организационные меры, новые антивирусные программы и пропаганда этих мер. Иногда удается ограничить масштабы заражений и разрушений, но появляются новые и весьма эффективные по своим разрушительным способностям разработки вирусов и информационные инфекции порой поражают АИС целых стран. Как и в живой природе, полный успех в этой борьбе не достигнут.
Борьбе с вирусами ниже в пособии посвящен целый раздел.
Червь – программа, распространяющаяся через сеть и не оставляющая своей копии на магнитном носителе. «Червь» использует механизмы поддержки сети для определения узла, который может быть заражен. Затем с помощью тех же механизмов передает свое тело или его часть на этот узел и либо активизируется, либо ждет для этого подходящих условий. Сам червь не является вирусом, он предназначен для передвижения по сети, но несет в своем теле один либо несколько вирусов, которые высаживает в узлах, подлежащих заражению. Тем не менее первый и наиболее известный представитель этого класса «червь» Морриса называли некоторое время вирусом Морриса. Этот червь поразил сеть Интернет в 1988 г.
Подходящей средой распространения «червя» является сеть, все пользователи которой считаются дружественными и доверяют друг другу, а защитные механизмы отсутствуют. Наилучший способ защиты от «червя» – принятие мер предосторожности против несанкционированного доступа к сети.
«Захватчик паролей» – это программы, специально предназначенные для воровства паролей.
Одна из характерных картин этой процедуры такая. При попытке обращения пользователя к терминалу системы на экран терминала выводится информация, необходимая для окончания сеанса работы. Пытаясь организовать вход, пользователь вводит имя и пароль, которые передаются владельцу программы-захватчика, после чего выводится сообщение об ошибке ввода и управление возвращается к операционной системе. Пользователь, думающий, что допустил ошибку при наборе пароля, повторяет вход и получает доступ к системе. Однако его имя и пароль уже известны владельцу программы-захватчика. Перехват пароля возможен и другими способами. Для предотвращения этой угрозы перед входом в систему необходимо убедиться, что вы вводите имя и пароль именно системной программе ввода, а не какой-нибудь иной. Кроме того, необходимо неукоснительно придерживаться правил пользования паролей и работы с системой. Большинство нарушений происходит не из-за хитроумных атак, а из-за элементарной небрежности. Соблюдение специально разработанных правил использования паролей – необходимое условие надежной защиты.
Приведенный краткий обзор наиболее опасных вредоносных программ безопасности АИС не охватывает всех возможных угроз этого типа. Для более подробной информации о перечисленных угрозах, а также о других («скрытые каналы», «сборка мусора», «жадные программы» и т. д.) следует обратиться к специальной литературе.