ВУЗ:
Составители:
111
Защита от внедрения программных закладок
Универсальным средством защиты от внедрения программных закладок является создание
изолированного компьютера. Компьютер называется изолированным, если выполнены следующие
условия:
• в нем установлена система BIOS, не содержащая программных закладок;
• операционная система проверена на наличие в ней закладок;
• достоверно установлена неизменность BIOS и операционной системы для данного сеанса;
• на компьютере не запускалось и не запускается никаких иных программ, кроме уже
прошедших проверку на присутствие в них закладок;
• исключен запуск проверенных программ в каких-либо иных условиях, кроме перечисленных
выше, т.е. вне изолированного компьютера.
Для определения степени изолированности компьютера может использоваться модель
ступенчатого контроля. Сначала проверяется, нет ли изменений в BIOS. Затем, если все в порядке,
считывается загрузочный сектор диска и драйверы операционной системы, которые, в свою
очередь, также анализируются на предмет внесения в них несанкционированных изменений. И
наконец, с помощью операционной системы запускается драйвер контроля вызовов программ,
который следит за тем, чтобы в компьютере запускались только проверенные программы..
Интересный метод борьбы с внедрением программных закладок может быть использован в
информационной банковской системе, в которой циркулируют исключительно файлы-документы.
Чтобы не допустить проникновения программной закладки через каналы связи, в этой системе не
допускается прием никакого исполняемого кода. Для распознавания событий типа "ПОЛУЧЕН
ИСПОЛНЯЕМЫЙ КОД" и "ПОЛУЧЕН ФАЙЛ-ДОКУМЕНТ" применяется контроль за наличием
в файле запрещенных символов: файл признается содержащим исполняемый код, если в нем
присутствуют символы, которые никогда не встречаются в файлах-документах.
Выявление внедренной программной закладки
Выявление внедренного кода программной закладки заключается в обнаружении
признаков его присутствия в КС. Эти признаки можно разделить на следующие два класса:
• качественные и визуальные;
• обнаруживаемые средствами тестирования и диагностики.
К качественным и визуальным признакам относятся ощущения и наблюдения
пользователя компьютерной системы, который отмечает определенные отклонения в ее работе
(изменяется состав и длины файлов, старые файлы куда-то пропадают, а вместо них появляются
новые, программы начинают работать медленнее, или заканчивают свою работу слишком быстро,
или вообще перестают запускаться). Несмотря на то, что суждение о наличии признаков этого
класса кажется слишком субъективным, тем не менее, они часто свидетельствуют о наличии
неполадок в КС и, в частности, о необходимости проведения дополнительных проверок
присутствия программных закладок. Например, пользователи пакета шифрования и цифровой
подписи "Криптоцентр" с некоторых пор стали замечать, что цифровая подпись под электронными
документами ставится слишком быстро. Исследование, проведенное специалистами ФАПСИ,
показало присутствие программной закладки, работа которой основывалась на навязывании длины
файла. В другом случае тревогу забили пользователи пакета шифрования и цифровой подписи
"Криптон", которые с удивлением отметили, что скорость шифрования по криптографическому
алгоритму ГОСТ 28147-89 вдруг возросла более чем в 30 раз. А в третьем случае программная
закладка обнаружила свое присутствие в программе клавиатурного ввода тем, что пораженная ею
программа перестала нормально работать.
Признаки, выявляемые с помощью средств тестирования и диагностики, характерны как
для программных закладок, так и для компьютерных вирусов. Например, загрузочные закладки
успешно обнаруживаются антивирусными программами, которые сигнализируют о наличии
подозрительного кода в загрузочном секторе диска. С инициированием статической ошибки на
дисках хорошо справляется Disk Doctor, входящий в распространенный комплект утилит Norton
Utilities. А средства проверки целостности данных на диске типа Adinf позволяют успешно
выявлять изменения, вносимые в файлы программными закладками. Кроме того, эффективен
поиск фрагментов кода программных закладок по характерным для них последовательностям
нулей и единиц (сигнатурам), а также разрешение выполнения только программ с известными
сигнатурами.
Удаление внедренной программной закладки
Защита от внедрения программных закладок
Универсальным средством защиты от внедрения программных закладок является создание
изолированного компьютера. Компьютер называется изолированным, если выполнены следующие
условия:
• в нем установлена система BIOS, не содержащая программных закладок;
• операционная система проверена на наличие в ней закладок;
• достоверно установлена неизменность BIOS и операционной системы для данного сеанса;
• на компьютере не запускалось и не запускается никаких иных программ, кроме уже
прошедших проверку на присутствие в них закладок;
• исключен запуск проверенных программ в каких-либо иных условиях, кроме перечисленных
выше, т.е. вне изолированного компьютера.
Для определения степени изолированности компьютера может использоваться модель
ступенчатого контроля. Сначала проверяется, нет ли изменений в BIOS. Затем, если все в порядке,
считывается загрузочный сектор диска и драйверы операционной системы, которые, в свою
очередь, также анализируются на предмет внесения в них несанкционированных изменений. И
наконец, с помощью операционной системы запускается драйвер контроля вызовов программ,
который следит за тем, чтобы в компьютере запускались только проверенные программы..
Интересный метод борьбы с внедрением программных закладок может быть использован в
информационной банковской системе, в которой циркулируют исключительно файлы-документы.
Чтобы не допустить проникновения программной закладки через каналы связи, в этой системе не
допускается прием никакого исполняемого кода. Для распознавания событий типа "ПОЛУЧЕН
ИСПОЛНЯЕМЫЙ КОД" и "ПОЛУЧЕН ФАЙЛ-ДОКУМЕНТ" применяется контроль за наличием
в файле запрещенных символов: файл признается содержащим исполняемый код, если в нем
присутствуют символы, которые никогда не встречаются в файлах-документах.
Выявление внедренной программной закладки
Выявление внедренного кода программной закладки заключается в обнаружении
признаков его присутствия в КС. Эти признаки можно разделить на следующие два класса:
• качественные и визуальные;
• обнаруживаемые средствами тестирования и диагностики.
К качественным и визуальным признакам относятся ощущения и наблюдения
пользователя компьютерной системы, который отмечает определенные отклонения в ее работе
(изменяется состав и длины файлов, старые файлы куда-то пропадают, а вместо них появляются
новые, программы начинают работать медленнее, или заканчивают свою работу слишком быстро,
или вообще перестают запускаться). Несмотря на то, что суждение о наличии признаков этого
класса кажется слишком субъективным, тем не менее, они часто свидетельствуют о наличии
неполадок в КС и, в частности, о необходимости проведения дополнительных проверок
присутствия программных закладок. Например, пользователи пакета шифрования и цифровой
подписи "Криптоцентр" с некоторых пор стали замечать, что цифровая подпись под электронными
документами ставится слишком быстро. Исследование, проведенное специалистами ФАПСИ,
показало присутствие программной закладки, работа которой основывалась на навязывании длины
файла. В другом случае тревогу забили пользователи пакета шифрования и цифровой подписи
"Криптон", которые с удивлением отметили, что скорость шифрования по криптографическому
алгоритму ГОСТ 28147-89 вдруг возросла более чем в 30 раз. А в третьем случае программная
закладка обнаружила свое присутствие в программе клавиатурного ввода тем, что пораженная ею
программа перестала нормально работать.
Признаки, выявляемые с помощью средств тестирования и диагностики, характерны как
для программных закладок, так и для компьютерных вирусов. Например, загрузочные закладки
успешно обнаруживаются антивирусными программами, которые сигнализируют о наличии
подозрительного кода в загрузочном секторе диска. С инициированием статической ошибки на
дисках хорошо справляется Disk Doctor, входящий в распространенный комплект утилит Norton
Utilities. А средства проверки целостности данных на диске типа Adinf позволяют успешно
выявлять изменения, вносимые в файлы программными закладками. Кроме того, эффективен
поиск фрагментов кода программных закладок по характерным для них последовательностям
нулей и единиц (сигнатурам), а также разрешение выполнения только программ с известными
сигнатурами.
Удаление внедренной программной закладки
111
Страницы
- « первая
- ‹ предыдущая
- …
- 108
- 109
- 110
- 111
- 112
- …
- следующая ›
- последняя »
