Коллектив авторов - Защита от хакеров корпоративных сетей

· Макровирусы используют для активизации язык, встроенный в программу для обработки и редактирования текстов и в другие офисные.

Строение вирусов

· Червям и вирусам требуется метод распространения.

· После перехода на другой компьютер они обычно выполняют некие действия, реализуя код «полезной нагрузки».

· Некоторые вирусы и черви пытаются скрыться от антивирусных программ с помощью различных уловок, например полиморфизма.

Инфицирование различных платформ

· Черви и вирусы обычно не в состоянии работать в различных операционных системах и на различных платформах, так как это приводит к увеличению их кода.

· Для создания вирусов можно использовать исполняемую среду Java. В этом случае распространение вируса не будет зависеть от платформы.

· Приложения, созданные для различных платформ, например пакет Microsoft Office, позволяют макровирусам активироваться в различных средах.

Поводы для беспокойства

· Мы сделали обзор «классических» червей, таких как червь Морриса и ADMWOrm.

· Появившиеся позднее макровирусы для электронной почты, например Melissa и I love you, использовали для своего распространения как технологические, так и психологические приемы.

· С мая по сентябрь 2001 года зафиксированы эпидемии червей Sadmind, Code Red, Code Red II и Nimda. Все они тем или иным способом атаковали уязвимый сервер Microsoft IIS. При этом для распространения использовалась уязвимость двухлетней давности. Это свидетельствует о том, что большая часть пользователей Интернета пренебрегает установкой новых пакетов исправлений.

Создание вредоносного кода

· Создатели червей ищут новые пути их распространения.

· Для распространения червей можно использовать сервисы, позволяющие рассылать поздравительные открытки, и интерактивное содержимое сайтов.

· По мере того как производители разрабатывают новые возможности макросов и сценариев для различных приложений, появляются макровирусы, использующие эти функции.

Защита от вредоносного кода

· Прежде всего следует установить и запустить антивирусную программу!

· Отключив возможность исполнения активных сценариев в браузере и приложениях Office, вы предотвратите заражение макровирусами, а также вирусами, построенными на основе сценариев.

· Пренебрегая установкой новейших пакетов исправлений, вы оставляете червям лазейки для проникновения в систему.

Вопрос:Откуда произошел термин «компьютерный вирус»?

Ответ:Самовоспроизводящиеся программы впервые появились в 60-х годах прошлого века. Однако термин «вирус» появился сравнительно недавно. Первым его использовал профессор Фред Коэн (Fred Cohen) в 1984 году при описании самовоспроизводящихся программ.

Вопрос:Все ли вирусы являются вредоносными? Ответ:По большей части да. Законное распространение вирусной технологии представить себе сложно, но тем не менее полезные программы используют тактику вирусов. Например, вирус КОН автоматически зашифровывает пользовательские данные при их сохранении и расшифровывает их при чтении с жесткого диска. Это очевидный способ обеспечить безопасность данных, но очевидным он стал отчасти потому, что был положен в основу вирусной технологии.

Вопрос:Можно ли получить работу, специализируясь в написании вирусов?

Ответ:Я думаю, что ответ «да» не будет сюрпризом для большей части читателей. В январе 2000 года появилось объявление о поиске специалиста в написании вирусов от корпорации информатики (Computer Sciences Corporation). Вот его текст:

«Корпорации информатики в Сан-Антонио, Техас, требуется опытный создатель вирусов. Работа на авиационной базе Келли в Сан-Антонио. Сопутствующий опыт приветствуется».

Вопрос:Как предотвратить распространение червя при заражении компьютера? Ответ:Это во многом зависит от того, какая операционная система была инфицирована. Предотвратить заражение достаточно легко для серверов в демилитаризованной зоне: измените установки брандмауэра таким образом, чтобы запретить прямое соединение серверов с Интернетом.

В этой главе обсуждаются следующие темы:

• Принципы работы, основанной на анализе сигнатур системы обнаружения вторжений

• Уклонение на уровне пакетов

• Уклонение на уровне приложений

• Уклонение при помощи морфизма кода

· Резюме

· Конспект

· Часто задаваемые вопросы

Один из законов защиты гласит, что все основанные на анализе сигнатур механизмы обнаружения атак можно обойти. Это справедливо для систем обнаружения вторжений (IDS – Intrusion Detection System). Системы обнаружения вторжений просматривают сетевой трафик и отслеживают несанкционированные действия в сети. Они анализируют сетевой трафик при помощи сигнатур, которые похожи на сигнатуры вирусов. Системам обнаружения вторжений присущи те же проблемы, что сканерам вирусов. Плюс к этому надо иметь в виду, что в их обязанности входят моделирование сети, работа на нескольких уровнях семиуровневой модели OSI одновременно, причем на каждом из этих уровней их могут перехитрить.

Эта глава посвящена описанию способов противодействия системам обнаружения вторжений. В их число входят манипуляции на уровне пакета, приложений и модификация машинного кода. Каждый из названных способов может использоваться как отдельно, так и совместно с другими, позволяя злоумышленнику избежать обнаружения системой обнаружения вторжения.

В главе приведено несколько примеров, иллюстрирующих перечисленные способы уклонения от обнаружения.

Система обнаружения вторжений является вполне простым высокотехнологичным эквивалентом охранной сигнализации, настроенной контролировать точки доступа к сети, враждебную сетевую активность и известных злоумышленников. Эти системы реагируют на враждебную сетевую активность стандартным образом, используя базу данных сигнатур атак. Если в базе данных будет найдено соответствие наблюдаемому событию, то подается сигнал тревоги и для последующего анализа делается запись в журнале регистрации. Подлежащими регистрации сетевыми событиями и действиями определяется состав базы данных сигнатур атак, которая является ахиллесовой пятой систем обнаружения вторжений.