Текст книги ""Шпионские штучки" и устройства для защиты объектов и информации"
Автор книги: авторов Коллектив
Жанр:
Справочники
сообщить о нарушении
Текущая страница: 11 (всего у книги 18 страниц)
К основным функциям архиваторов относятся:
– архивация указанных файлов пли всего текущего каталога;
– извлечение отдельных или всех файлов на архива в текущий каталог (пли в указанный каталог);
– просмотр содержимого архивного файла (состав, свойства упакованных файлов, их каталожная структура и т. д.);
– проверка целостности архивов;
– восстановление поврежденных архивов;
– ведение многотомных архивов;
– вывод файлов из архива на экран или на печать.
Все программы-архиваторы, как правило, снабжены подробными комментариями, поэтому их применение не вызывает особых затруднений.
Кроме того, в программах-архиваторах могут быть предусмотрены дополнительные функции по защите информации в архивном файле с помощью пароля, которым используется как ключ алгоритма шифрования данных в архиве.
4.2.6. Защита от компьютерных вирусов
Компьютерный вирус – это специально написанная небольшая по размерам программа, которая может «приписывать» себя к другим программам (т. е. «заражать» их), а также выполнять различные нежелательные действия на компьютере. Программа, внутри которой находится вирус, называется «зараженной». Когда такая программа начинает работу, то сначала, как правило, управление получает вирус. Вирус находит и «заражает» другие программы или выполняет какие-нибудь вредные функции: портит файлы или таблицу размещения файлов на диске, «засоряет» оперативную память, изменяет адресацию обращений к внешним устройствам и т. д. Более того, зараженные программы могут быть перенесены на другой компьютер с помощью дискет или локальной сети.
Рис. 4.3. Классификация компьютерных вирусов
В настоящее время известно более трех тысяч вирусов. Условно они подразделяются на классы по следующим признакам.
По среде обитания:
– сетевые, распространяющиеся по компьютерной сети;
– файловые, внедряющиеся в выполняемый файл;
– загрузочные, внедряющиеся в загрузочный сектор жесткого диска или дискеты.
По способу заражения:
– резидентные, загружаемые в память ПК;
– нерезидентные, не заражающие память ПК и остающиеся активными ограниченное время.
По возможностям:
– безвредные, не влияющие на работу ПК;
– неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими звуковыми и прочими эффектами;
– опасные, которые могут привести к серьезным сбоям в работе ПК;
– очень опасные, которые могут привести к потере программ, уничтожению данных, стереть информацию в системных областях памяти и даже преждевременному выходу из строя периферийных устройств. В последнее время появились вирусы, влияющие на здоровье человека (печально известный вирус "777").
* * *
Данная классификация объединяет, естественно, далеко не все возможные вирусы; в каждой категории встречаются варианты, не названные в силу их экзотичности, например, CMOS-вирусы или вирусоподобные структуры, "обитающие" в среде Microsoft Word. Кроме того, встречается ряд программ, не обладающих всеми свойствами вирусов, но могущих представлять серьезную опасность ("троянские кони" и т. п.).
* * *
Для защиты и борьбы с вирусами применяются специальные антивирусные программы, которые можно разделить на несколько видов:
– программы детекторыпозволяют обнаружить файлы, зараженные вирусом. Работа детектора основывается на поиске участка кода, принадлежащего тому или иному известному вирусу. К сожалению, детекторы не гарантируют обнаружения «свежих» вирусов, хотя в некоторых из них для этого предусмотрены особые средства. Наиболее известными детекторами являются ViruScan, KetSсаn. У нас в стране используется детектор Aidstest;
– программы-доктора (или фаги)«лечат» зараженные программы или диски, уничтожая тело вируса. При этом в ряде случаев ваша информация может быть утеряна, так как некоторые вирусы настолько искажают среду обитания, что ее исходное состояние не может быть восстановлено. Широко известными программами-докторами являются Clean-Up, M-Disk и уже упомянутый выше Aidstest;
– программы-ревизорысначала запоминают сведения о состоянии программ и системных областей дисков, а в дальнейшем сравнивают их состояние с исходным. При выявлении несоответствий выдают сообщение пользователю. Работа этих программ основана на проверке целостности (неизменности) файлов путем подсчета контрольной суммы и ее сравнении с эталонной, вычисленной при первом запуске ревизора, возможно также использование контрольных сумм, включаемых в состав программных файлов изготовителями. Могут быть созданы, и встречаются, вирусы, не изменяющие при заражении контрольную сумму, сосчитанную традиционным образом – суммированием всех байтов файла, однако практически невозможно замаскировать модификацию файла, ее подсчет ведется по произвольной, заранее неизвестной схеме (например, четные байты дополнительно умножаются на 2), и совсем невероятно при использовании двух (или более…) по-разному сосчитанных сумм.
Рис. 4.4. Классификация специализированных программных антивирусных средств
Рис. 4.6. Заставка антивирусной программы DrWeb
Рис. 4.5. Заставка антивирусной программы Aidstest
– доктора-ревизоры– это программы, объединяющие свойства ревизоров и фагов, которые способны обнаружить изменения в файлах и системных областях дисков и при необходимости, в случае патологических изменений, могут автоматически вернуть файл в исходное состояние;
– программы-фильтрырасполагаются резидентно в оперативной памяти компьютера, перехватывают те обращения к операционной системе, которые могут использоваться вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Программы фильтры контролируют действия, характерные для поведения вируса, такие как:
– обновление программных файлов;
– запись на жесткий диск по физическому адресу (прямая запись);
– форматирование диска;
– резидентное размещение программ в оперативной памяти.
* * *
Выявив попытку совершения одного из этих действий, программа-фильтр выдает описание ситуации и требует от пользователя подтверждение. Пользователь может разрешить операцию, если ее производит "полезная" программа, или отменить, если источник данного действия неясен. К широко распространенным программам фильтрам относятся FluShot Plus, Anti4Us, Floserum, Disk Monitor. Это достаточно надежный метод защиты, но создающий существенные неудобства для пользователя.
Некоторые антивирусные функции встроены в современные версии BIOS.
Выпускаемые антивирусные программные продукты, а их очень много, как правило, объединяют основные функции детектора-доктора-ревизора.
Следует отметить, что антивирусные программы постоянно обновляются, не реже одного раза в месяц, и способны защитить компьютеры от вирусов, известных программе на данный момент.
Прежде всего, необходимо подчеркнуть, что защитить компьютер от вирусов может только сам пользователь. Только правильное и своевременное применение антивирусных средств может гарантировать его от заражения или обеспечить минимальный ущерб, если заражение все-таки произошло.
Необходимо правильно организовывать работу на ПК и избегать бесконтрольной переписи программ с других компьютеров, в первую очередь это касается развлекательных программ и компьютерных игр.
Действия при заражении вирусом
При заражении компьютера вирусом (или подозрении на это заражение) необходимо выполнить следующие операции.
1. Выключить компьютер, чтобы вирус не продолжал выполнение своих разрушительных функции.
2. Произвести загрузку компьютера с "эталонной" (системной) дискеты (на которой записаны исполняемые файлы операционной системы и программы-детекторы) и запустить антивирусные программы для обнаружения и уничтожения вируса. Использование "эталонной" дискеты является необходимым, т. к. при загрузке операционной системы с жесткого диска некоторые вирусы могут переместиться в оперативную память из загрузочного модуля. При этом системная дискета должна быть защищена от записи, с помощью переключателя, расположенного на ее корпусе (для дискет 3,5") или наклейки (для дискет 5,25").
Рис. 4.7. Защита дискеты от записи
3. Далее следует последовательно обезвредить все логические диски винчестера. Если некоторые файлы на логическом диске невозможно восстановить и они не уничтожаются, то необходимо неповрежденные файлы скопировать на другой логический диск, а этот диск заново отформатировать. Затем восстановить все файлы на этом логическом диске путем обратного копирования и с использованием архивных копий.
Профилактика против заражения вирусом
Профилактика в основном состоит в следующем.
Проверка информации, поступающей извне (дискеты, локальной сети и т. д.), с помощью программ-детекторов или программ-ревизоров. Для этого желательно использовать программы, которые проверяют не длину файла, а вычисляют его контрольную сумму, так как многие вирусы не изменяют длину зараженных файлов, а изменить файл так, чтобы его контрольная сумма осталась прежней, практически не возможно.
Если принесенные программы записаны на дискете в архивированном виде, то следует извлечь файлы из архива и проверить их сразу, только после этого файлы можно пускать в работу
Очень простой и надежной проверкой на наличие резидентных вирусов является отслеживание изменений в карте памяти компьютера, например, за прошедший день. Для этих целей можно использовать специальные программы, которые заносятся в командный файл autoexec.bat, выполняемый при начальной загрузке MS DOS. Весьма удачным выбором здесь может быть программа ADinf, которая умеет читать информацию с дисков без использования услуг DOS, так что ни один "невидимый" вирус не может ее обмануть. Это существенно сокращает время проверки, поскольку требуется проверить только вновь появившиеся или измененные файлы.
4.2.7. Сохранение информации на магнитном носителе
Информация на жестком диске может разрушиться не только вследствие действия компьютерного вируса или злого умысла вашего недоброжелателя, но и в результате физических и логических дефектов. Кроме того, неприятности могут возникнуть и по вашей собственной неосторожности – в случае ошибочного форматирования дисков или удаления файлов.
Для сохранения данных на диске необходимо:
– регулярное проведение профилактических работ;
– своевременное реагирование на первые признаки повреждения;
– соблюдение правил обращения с диском;
– систематическое резервное копирование.
Проведение профилактических работ
Регулярно проверяйте свой диск на наличие плохих ( bad) секторов.
Для их обнаружения можно воспользоваться утилитой Disk Doctor из комплекта Norton Utilities.
Отметим, что входящая туда же утилита Calibrate может иногда сделать дефектный кластер на диске снова нормальным.
Рис. 4.8. Заставка программы Norton Disk Doctor
Если на вашем жестком диске достаточно места, то целесообразно из файла autoexec.bat (DOS) запускать утилиту Erase Protection, которая размещает удаленные файлы в специально выделенной области на диске, откуда они могут быть при необходимости извлечены. В других операционных системах имеются аналогичные средства.
Следует помнить, что единственным стопроцентно надежным способом уберечь вашу информацию от любых разрушительных случайностей является четкая, неукоснительно соблюдаемая система резервного копирования. Многолетний опыт как частных лиц, так и крупных предприятий во всем мире показывает, что при грамотном подходе (несколько "поколений" копий для каждого из ряда временных интервалов – месяц, неделя, день, полдня) вы не потеряете более одного рабочего дня на восстановление утраченной информации; в случае же, если последние копии архива содержат уже поврежденные файлы, вы имеете возможность вернуться к более ранним. С появлением доступных носителей CD-ROM ведение архивов облегчилось, поскольку необходимо хранить только целевые файлы и небольшое количество программ, основная же масса программного обеспечения легко восстанавливается с лазерных дисков или фирменных дистрибутивов (стоит, правда, напомнить, что известны случаи обнаружения вирусов и в тех и в других). Существует доступная возможность переписать информацию длительного хранения на лазерный диск, тем самым предохранив ее практически от всех неприятностей.
Действия при первых признаках повреждения диска
Наиболее типичными симптомами, предшествующими возникновению серьезных дефектов на диске – следующие:
– отсутствие доступа к отдельному файлу или появление в текстовых файлах посторонних символов;
– замедление работы дисковода;
– появление при записи и чтении информации звука, напоминающего фырканье насоса;
– неустойчивость процесса загрузки DOS.
При появлении какого-либо из перечисленных симптомов в первую очередь перепишите на дискеты наиболее важную информацию (которая еще доступна). Затем попытайтесь восстановить разметку утилитой Calibrate – для жесткого диска и Disk Tools – для дискет. Обе эти утилиты входят в состав Norton Utilities. Независимо от результатов переразметки завершите процесс восстановления обработкой диска утилитой Norton Disk Doctor.
Во многих случаях описанных действий достаточно для восстановления работоспособности диска. Однако иногда исправление дефектов в автоматическом режиме невозможно. В этом случае применяются специальные методы, описание которых выходит за рамки данной книги. Для изучения этого вопроса вам следует обратиться к специальной литературе.
Эксплуатация и обслуживание дисков
Приводы жестких дисков обычно в обслуживании не нуждаются. Диски располагаются в герметически закрытом корпусе. У вас никогда не должно появляться мыслей об очистке винчестера от пыли даже если внутри его находятся частицы пыли, все-равно срок его службы достаточно велик. Разборка винчестера с высокой вероятностью (99,99 %) приводит к его выходу из строя!
Для обеспечения безаварийной работы жесткого диска старайтесь воздерживаться от курения возле ПК. Особенно страдают дискеты. Частицы дыма и смол, оседающие на их поверхности, образуют слой, сравнимый с толщиной магнитного покрытия, и данные перестают читаться.
В отличие от жесткого диска, дисководы требуют регулярной очистки, поскольку в отверстие, предназначенное для установки дискет проникает пыль, табачный дым и др. Первичную очистку можно выполнять при помощи специальных пылесосов через мелкие щели. Не пользуйтесь мощными агрегатами, так как добычей пылесоса могут оказаться головка записи чтения или другие небольшие механические части, находящиеся внутри дисковода. Если же вы возьметесь за дело таким рьяным способом, то это профилактическое мероприятие приведет только к необходимости приобретения нового дисковода!
Рис. 4.9. Правила эксплуатации дискет
К значительным проблемам приводят осаждения пыли на головке записи/чтения. В результате на экране появляются сообщения типа " Can't read disc in drive А:" и другие.
Однако прежде чем вы решите, что виноват дефектный или грязный привод, проверьте используемые дискеты. Дискеты, которые без проблем читаются на других дисководах, должны читаться и на вашем. Таким образом, можно сразу же определить, действительно ли виноват дисковод.
Очистку рабочих головок необходимо поручать специалистам, а если еще не истек гарантийный срок дисководов, то изготовителям или поставщикам.
Если вы непременно хотите очистить рабочие головки самостоятельно, лучше воспользоваться специальными чистящими дискетами.
В заключение еще несколько советов по обращению с дискетами.
– Наряду с рекомендациями, которые находятся на конверте каждой дискеты, нужно хранить дискеты в закрытом ящике, что обеспечивает следующие преимущества: вы найдете необходимые данные быстрее, если не будете разыскивать дискеты по разным углам; вы защищаете дискеты от механического и магнитного влияния извне; вы обеспечиваете определенную степень защиты и безопасности дискетам и хранимым на них данным.
– Извлекайте дискеты из дисковода только тогда, когда индикатор LED погашен.
– Храните 5,25" дискеты в их защитном конверте.
– Подписывайте дискеты только с легким нажатием. Не давите на защитный футляр и не сгибайте дискету.
– Никогда не касайтесь пальцами незащищенной области дискеты.
– Не держите дискеты в месте с очень низкими или высокими температурами.
– Никогда не располагайте дискеты вблизи от источников электромагнитных полей (акустических систем, телевизора и др.). Вы должны помнить, что данные, потерянные по причине воздействия электромагнитного поля, как правило, восстановлению не подлежат, хотя в принципе это возможно. При транспортировке дискет заворачивайте их в фольгу; в противном случае три-четыре поездки на троллейбусе или трамвае могут оказаться фатальными для ваших данных.
– При перемещении важных данных не поленитесь записать их на дискету дважды, в разные каталоги, чтобы не пришлось совершать утомительные путешествия из-за сбоя в одном из ста файлов.
– Записав данные на дискету, убедитесь в их читабельности командой типа " A: COPY *.* NUL".
4.3. Специальные средства защиты информации от несанкционированного доступа
Прохождение электрических сигналов по цепям ПК и соединительным кабелям сопровождается возникновением побочных электромагнитных излучений в окружающей среде. Распространение побочных электромагнитных излучений за пределы контролируемой территории создает предпосылки для утечки информации, так как возможен ее перехват с помощью специальных технических средств контроля. В персональном компьютере основными источниками электромагнитных излучений являются устройства ввода и вывода информации совместно с их адаптерами (монитор, принтер, клавиатура, печатающее устройство и т. д.), а также центральный процессор. Утечке информации в ПК способствует применение коротких видеоимпульсов прямоугольной формы и высокочастотных коммутирующих сигналов. Исследования показывают, что излучение видеосигнала монитора является достаточно мощным, широкополосным и охватывает диапазон метровых и дециметровых волн.
Для уменьшения уровня побочных электромагнитных излучений применяют специальные средства защиты информации' экранирование, фильтрацию, заземление, электромагнитное зашумление, а также средства ослабления уровней нежелательных электромагнитных излучений и наводок при помощи различных резистивных и поглощающих согласованных нагрузок.
Специальная проверка ПК заключается в проверке выполнения установленных требований по защите информации, а также в выявлении и анализе источников каналов утечки информации и разработке предложений по их закрытию. Специальную проверку, как правило, проводят организации (учреждения), являющиеся головными по защите информации в министерствах (ведомствах), разрабатывающих и изготавливающих аппаратуру контроля информации. Техническому контролю в ПК должны подвергаться следующие потенциальные и реальные каналы утечки информации.
Рис. 4.10. Перехват информации с ПК
– побочные электромагнитные излучения в диапазоне частот от 10 Гц до 1000 МГц;
– наводки сигналов в цепях электропитания, заземления, в линиях связи;
– опасные сигналы, образующиеся за счет электроакустических преобразований, которые могут происходить в специальной аппаратуре контроля информации. Эти сигналы должны контролироваться в диапазоне частот от 300 Гц до 3.4 кГц;
– каналы утечки информации, образующиеся в результате воздействия высокочастотных электромагнитных полей на различные провода, находящиеся в помещении, которые могут выступать в качестве приемной антенны. В этом случае проверка проводится в диапазоне частот от 20 кГц до 1000 МГц.
При контроле защиты информации ПК используются специально разработанные тестовые программы, а также специальная аппаратура контроля уровня излучения, которые определяют режим работы ПК, обеспечивающий совместно с другими техническими средствами скрытый режим работы для различных средств разведки.
5. ПРОТИВОДЕЙСТВИЕ КОММЕРЧЕСКОЙ РАЗВЕДКЕ С ПОМОЩЬЮ ТЕХНИЧЕСКИХ СРЕДСТВ
Читателю, ознакомившемуся с содержанием предыдущих глав этой книги, нет необходимости доказывать, какое большое внимание должно быть уделено защите от несанкционированного получения информации с помощью технических средств.
Во многих организациях, действующих на территории бывшего СССР, большое внимание уделяется вопросам сохранения коммерческой тайны. Однако недостаток сведении о возможностях технических средств разведки, простота получения с их помощью нужной информации зачастую оставляют возможность беспрепятственного доступа к информации, нуждающейся в защите.
Естественно, формы, способы и конкретные устройства противодействия технической коммерческой разведке по той же причине недостатка сведений очень часто остаются вне сферы внимания многих заинтересованных лиц.
Защита информации или противодействие технической коммерческой разведке, в общем случае, представляет собой комплекс мероприятий организационного и технического характера.
Технические мероприятия, которым и посвящена эта глава, включают:
– поиск и уничтожение технических средств разведки;
– кодирование (шифрование) информации пли передаваемого сигнала;
– подавление технических средств постановкой помехи;
– мероприятия пассивной защиты: экранирование, развязки, заземление, звукоизоляция и т. д.
– системы ограничения доступа, в т. ч. биометрические системы опознавания личности;
– применение детекторов лжи.
Для гарантированный защиты нужно иметь в виду, что применение технических средств должно носить как можно более комплексный характер и, кроме того, обязательно сочетаться с мероприятиями организационного характера.
В СССР были разработаны и применялись для защиты государственных секретов на предприятиях, учреждениях различные системы и устройства. Многие из них стали доступны сейчас для использования коммерческими организациями. Это, прежде всего, генераторы пространственного и линейного зашумления в радио– и акустическом диапазонах, различные фильтры, подавляющие низко– и высокочастотные наводки в линиях связи, панорамные измерительные приемники серии П5, телефонные "стражи", различных образцов кодировщики речи ("скремблеры"). Но, как оказалось, номенклатура средств защиты значительно уступает разнообразию средств съема. В последнее время на рынке появились более сложные и эффективные устройства противодействия, в том числе автоматизированные комплексы, анализирующие сразу несколько параметров и принимающие решения о характере угроз. Причем отечественные производители подобной техники все более успешно конкурируют на этом рынке с западными коллегами, как благодаря высокому качеству своих изделий, так и их низкой стоимости. Особенно это касается техники с использованием программного продукта. Специалистами прогнозируется рост спроса на такого рода комплексы. Например, сообщается, что один из таких комплексов способен производить автоматический поиск радиомикрофонов в радиусе до 6 метров и с точностью до 1 сантиметра. Но тут хотелось бы еще раз подчеркнуть, что нет такого универсального "черного ящика", способного решить все проблемы защиты. Необходимо поставить себя на место вашего конкурента и представить, каким способом он смог бы при желании получить ценную информацию. Уже сейчас на рынке существуют фирмы, специализирующиеся на добывании и продаже чужих секретов. Легальным прикрытием для таких фирм может быть оказание консультативных услуг, проведение маркетинговых исследований. Не редкость и разведчики-одиночки, хотя, по сути, чаще всего они одиночками не являются, т. к. для того, чтобы получить заказ, им необходимо иметь соответствующие контакты. Кроме того, нужно знать, что иногда информация добывается не под конкретный заказ, а заинтересованные в покупке информации лица ищутся уже после получения информации.
Из присутствующих сейчас на рынке технических средств защиты информации можно выделить следующие основные группы;
– генераторы акустического шума;
– генераторы шума в радиодиапазоне;
– сканеры – специальные приемники для обнаружения радиоизлучения;
– нелинейные локаторы;
– нелинейные локаторы проводных линий;
– детекторы работающих магнитофонов;
– скремблеры (системы защиты телефонных переговоров);
– анализаторы спектра;
– частотомеры;
– детекторы сети 220В 50 Гц;
– детекторы подключений к телефонной линии;
– комплексы, обеспечивающие выполнение нескольких функций по "чистке помещений";
– программные средства защиты компьютеров и их сетей;
– системы и средства защиты от несанкционированного доступа, в том числе, системы биометрического доступа.
В этой главе рассказывается об общих принципах построения систем защиты информации, а также о наиболее характерных устройствах (и конкретных моделях) этих систем.
