 |
|
 |
|
Защита от шпионских программ
М. Боталичев
Шпионские программы и методы защиты от них
(в статье использован материал "Шпионские программы и
новейшие методы защиты от них", Н.Д.Красноступ,
Д.В.Кудин
bezpeka.com/ru/lib/sec/gen/art382.html)
Программное обеспечение и аппаратные устройства, предназначенные для скрытого
слежения за деятельностью пользователей персональных компьютеров, получили в
последнее время самое широкое распространение. Особую опасность представляют
мониторинговые программные продукты и аппаратные устройства, которые могут быть
скрытно и несанкционированно (как правило, дистанционно) установлены без ведома
владельца или администратора безопасности автоматизированной системы или без
ведома владельца конкретного персонального компьютера. Данная категория
мониторинговых продуктов часто именуется «программы-шпионы» или
«продукты-шпионы».
Их применение позволяет злоумышленнику:
• несанкционированно перехватывать чужую информацию;
• осуществлять экономический шпионаж;
• осуществлять
политический шпионаж;
• получить несанкционированный доступ к системам
"банк-клиент";
• получить несанкционированный доступ к системам
криптографии пользователя персонального компьютера - открытым и закрытым ключам,
парольным фразам;
• получить несанкционированный доступ к
авторизационным данным кредитных карточек;
и еще многое другое.
Продукты-шпионы представляют серьезную опасность для защиты отдельных и
соединенных в сеть компьютерных систем. Среди них выделяются программы,
предназначенные для контроля информации, вводимой пользователем персонального
компьютера, так называемые программные кейлоггеры,
Программные кейлоггеры
Программные кейлоггеры (keyloggers, key loggers,
keystroke loggers, key recorders, key trappers, key capture programs и множество
других вариантов названия) принадлежат к той группе программных продуктов,
которые осуществляют контроль над деятельностью пользователя персонального
компьютера. Первоначально программные продукты этого типа предназначались
исключительно для записи информации о нажатиях клавиш клавиатуры, в том числе и
системных, в специализированный журнал регистрации (Log-файл), который
впоследствии изучался человеком, уставившим эту программу. Log-файл может
отправляться по сети на сетевой диск, FTP- сервер в сети Интернет, по E-mail и
др. В последнее время программные продукты, имеющие данное название, выполняют
много дополнительных функций. Это перехват информации из окон, перехват кликов
мыши, "фотографирование" снимков экрана и активных окон, ведение учета всех
полученных и отправленных писем E-mail. Это мониторинг файловой
активности, системного реестра, очереди заданий, отправленных на принтер.
Перехват звука с микрофона и видео-изображения с веб-камеры, подключенных к
компьютеру и др.
Кейлоггеры могут быть встроены в коммерческие, бесплатные и
условно-бесплатные программы, троянские программы, вирусы и вирусы-черви.
Аппаратные кейлоггеры
Аппаратные кейлоггеры (keystroke recording device,
hardware keylogger и пр.) представляют собой миниатюрные приспособления, которые
могут быть прикреплены между клавиатурой и компьютером или встроены в саму
клавиатуру. Они регистрируют все нажатия клавиш, сделанные на клавиатуре.
Процесс регистрации абсолютно невидим для конечного пользователя. Аппаратные
кейлоггеры не требуют установки какой-либо программы на компьютере интересующего
объекта, чтобы успешно перехватывать все нажатия клавиш. Когда аппаратный
кейлоггер прикрепляется, абсолютно не имеет значения, в каком состоянии
находится компьютер - включенном или выключенном. Атакующий может снять
устройство в любой удобный момент, а его содержимое (записанные нажатия клавиш)
скачать, когда ему это будет удобно. Объемы внутренней энергонезависимой памяти
данных устройств позволяют записывать до 10 миллионов нажатий клавиш.
Наружные аппаратные кейлоггеры подключаются между обычной клавиатурой ПК и
компьютером и регистрируют каждое нажатие клавиш. Для работы им не нужны батареи
и установленные программы, и они могут работать на любом компьютере. Можно
подключить их к одному компьютеру, чтобы записать информацию, а затем, при
необходимости, подключить к другому, чтобы воспроизвести ее.
Современный внутренний аппаратный кейлоггер представляет собой встроенное
приспособление, которое выглядит, как клавиатура. Небольшое устройство,
внедряется в разрыв шнура клавиатуры и покрывается теплоизоляционным материалом.
Их гораздо сложнее обнаружить и обезвредить, чем наружные.
Методы противодействия программам-шпионам
Для обнаружения и удаления мониторинговых программных продуктов, которые
могут быть установлены без ведома пользователя компьютера, в настоящее время
используются программы различных типов, обеспечивающие более или менее
эффективную защиту исключительно только против ИЗВЕСТНЫХ программ-шпионов с
помощью сигнатурного анализа. Для эффективной работы программ данного типа
необходимо получить образец программы-шпиона, выделить из нее сигнатуру и
включить данную сигнатуру в свою базу. При обновлении сигнатурной базы
пользователи персонального компьютера получают возможность бороться с данным
вариантом программы-шпиона. По такому принципу работают многие известные фирмы
производители антивирусного программного обеспечения.
Но есть и другая
группа программ-шпионов, которая наиболее опасна для любых автоматизированных
систем - это НЕИЗВЕСТНЫЕ программы-шпионы. Они подразделяются на программы пяти
типов:
0. Программы-шпионы, разрабатываемые под эгидой
правительственных организаций (как пример - продукт Magic Lantern, проект под
названием Cyber Knight, США).
0. Программы-шпионы, которые могут
создаваться разработчиками различных операционных систем и включаться ими в
состав ядра операционной системы.
0. Программы-шпионы, которые
разработаны в ограниченном количестве (часто только в одной или нескольких
копиях) для решения конкретной задачи, связанной с похищением критической
информации с компьютера пользователя (например, программы, применяемые
хакерами-профессионалами). Данные программы могут представлять собой немного
видоизмененные открытые исходные коды программ-шпионов, взятые из сети Интернет
и скомпилированные самим хакером, что позволяет изменить сигнатуру
программы-шпиона.
0. Коммерческие, особенно корпоративные программные
продукты, которые очень редко вносятся в сигнатурные базы, а если и вносятся, то
только по политическим мотивам.
5.
Программы-шпионы, представляющие собой keylogging модули включаемые в состав
программ-вирусов.
Что же может противопоставить пользователь персонального компьютера
программам-шпионам?
Решение данной проблемы возможно только с использованием
комплекса программных продуктов:
• Программный продукт № 1 использует
эвристические механизмы защиты против программ-шпионов, созданные специалистами,
имеющими больший опыт борьбы с программами-шпионами. Он оказывает защиту
непрерывно и не использует никакие сигнатурные базы.
• Программный
продукт № 2 - Антивирусный программный продукт, использующий постоянно
обновляемые сигнатурные базы.
• Программный продукт № 3 - персональный
Firewall, контролирующий выход в сеть Интернет с персонального компьютера на
основании политики информационной безопасности, которую устанавливает сам
владелец сети.
Никакие программные продукты не в состоянии определить
наличие установленных аппаратных устройств, которые обеспечивают перехват
нажатий клавиатуры пользователем персонального компьютера.
Сегодня
существует только два метода противодействия аппаратным кейлоггерам при работе
на стандартном персональном компьютере:
• физический поиск и устранение
аппаратного кейлоггера;
• использование виртуальных клавиатур для ввода
особо важной информации (логины, пароли, коды доступа, PIN коды кредитных карт и
т.п.
Существуют программные продукты (например, PrivacyKeyboard™),
которые имеют в своем составе модуль защиты от аппаратных кейлоггеров,
выполненный в виде виртуальной экранной клавиатуры, которая вызывается
пользователем в случае необходимости.
Планируя мероприятия защиты,
необходимо четко определить круг потенциальных целей авторов деструктивного
программного кода.
Существуют следующие основные группы защищаемых объектов:
• файловые сервера и рабочие станции;
• прикладные
службы;
• сетевые транспортные потоки.
Способы противодействия компьютерным вирусам (по аналогии с
медицинскими ) можно разделить на три группы:
• Профилактика заражения компьютерной сети
• Обезвреживание и
удаление известного вируса с использованием антивирусных программных
комплексов
• Восстановление пораженных объектов
В качестве профилактических мер используются в основном организационные
меры, которые для снижения вероятности заражения сети формулируются в виде
правил, обязательных для всех сотрудников. Они включают в себя указания об
использовании только надежных источников информации, использование только
лицензионных программных продуктов, грамотного ведения почтовой переписки по
электронной почте и т.д. Все эти правила формулируются при разработке политики
информационной безопасности предприятия.
Антивирусные программы выполняет защитные и обезвреживающие функции.
Наиболее традиционной областью антивирусной защиты является защита рабочих
станций и файловых серверов.
Какие основные проблемы сопровождают на сегодняшний день корпоративную
вирусную безопасность?
В первую очередь, это большое число средств доставки программного
обеспечения. Пользователь может получить элемент деструктивного
програмного кода из самых разнообразных источников: принести на рабочее место
носитель (например, гибкий диск или CD-ROM), содержащие вирусы, получить по
электронной почте письмо с вложением, содержащим вирус и т.п.).
Другая проблема – большое число защищаемых объектов, что обусловлено
масштабностью вычислительных сетей и их проникновением буквально во все сферы
производства и документооборота. В виду наличия большого числа защищаемых
объектов администратору безопасности сложно их контролировать
непосредственно. Поэтому необходимо решить проблему единого управления
всеми средствами с одного рабочего места, а также реализовать систему
уведомления о попытках нарушения антивирусной защиты.
Не
менее важен вопрос поддержания антивирусных средств в актуальном состоянии, что
достигается своевременным обновлением вирусных баз. Однако, в
распределенной среде одновременное обновление нескольких объектов может занять
важные ресурсы и снизить производительность системы, поэтому для решения
проблемы необходимо принимать дополнительные меры.
Кроме сугубо технических проблем существенную роль здесь играют вопросы
организационного характера. В частности, достаточно остро стоит проблема
отключения антивирусных средств пользователями, на чьих рабочих местах эти
средства установлены. Это происходит из-за недопонимания персоналом
значения антивирусных средств и желания якобы ускорить работу своих персональных
компьютеров за счет блокирования процессов антивирусной проверки и освобождения
дополнительных ресурсов, ранее ими занимаемых. В результате страдает не
только безответственный сотрудник, но и лица его окружающие, люди, на чьи
компьютеры данной распространились вирусы, однажды появившиеся у должностного
лица, проявившего халатность.
|
вернуться назад
