Разработка подсистемы сканирования корпоративной сети на наличие запрещенных к использованию программ

Министерство образования  Республики Беларусь

Учреждение  образования

«Гомельский государственный университет 
имени Франциска Скорины»

 

Заочный факультет 

Кафедра автоматизированных систем обработки информации

 

 

Допущен к защите Зав. кафедрой___________________Левчук В.Д. "_13__"     июня 2011г.

 

Разработка подсистемы сканирования корпоративной сети на наличие запрещенных  к использованию программ

Дипломный проект

 

 

 

 

 

 

 

 

 

Исполнитель

студентка  группы АС-61   __________________ Гришковцов Г.Е.

 

 

Научный руководитель

доцент кафедры АСОИ,

 к.т.н., доцент     __________________ Воруев А.В.

 

Рецензент

зав. кафедрой МПУ,

 д.т.н., доцент                          __________________           Мородин В.С. .

 

 

 

Гомель 2011

 

 

СОДЕРЖАНИЕ

 

 

 

 

 

 

 

ВВЕДЕНИЕ

Проблема с вредоносным  программным обеспечением (далее ВПО) не является новой, точно также она не исчезнет в ближайшем будущем. Слишком много денег вложено теми людьми, которые используют трояны, вирусы и армии ботов, чтобы просто отказаться от их использования. Целью атак этого вредоносного программного обеспечения являются не только обычные пользователя домашних компьютеров, но и также пользователи корпоративных компьютеров.

Установка антивирусного программного обеспечения, конечно же, очень важная вещь, также как и программа  для проверки содержимого, которая  должна работать на вашем сервере Exchange. Но лучшее, на текущий момент, оружие защиты – это обученный пользователь. Всегда будут появляться новые версии вредоносного программного обеспечения (malware), которые смогут проскользнуть через вашу защиту, неважно, будь то новый троян, или новая уязвимость в веб браузере на клиентском компьютере. Если пользователи будут знать о проблеме, то, можно считать, что большой путь по снижению угроз от вредоносного программного обеспечения в вашей корпоративной среде уже пройден.

Актуальность выполнения дипломного проекта по данной теме обусловлена  фактом использования вредоносных  программ для решения задач промышленного шпионажа.

Термин «промышленный шпионаж» впервые был сформулирован в начале 60-х годов на семинаре по методам сбора информации для руководящего состава, организованном фирмой Маnadgемеnt Invеstigаtion Сеrviсеs. Однако на самом деле еще в древние века римский император Юстиниан совершенно разрушил торговлю китайцев знаменитым шелком на Ближнем и Среднем Востоке, похитив у них гусеницу тутового шелкопряда. В 70-х годах прошлого столетия Рокфеллер, применив классические методы шпионажа, перехитрил своих конкурентов в погоне за нефтью в США. Некоторые говорят, что успешно проведенные акции промышленного шпионажа ведут к получению незаконных преимуществ над конкурентами, которым иногда приходится тратить миллионы на проведение научно-исследовательских работ и в итоге к увеличению армии безработных.

Кроме тотальной защиты информации эффективной схемой решения проблемы стал контршпионаж. Сюда может относиться дезинформация, навязывание бесполезной информации и перевербовка агентов. Всегда следует помнить, что шпионаж становится известным фактом только в случае провала шпиона, информация об успешно проведенных операциях всплывает крайне редко. Поэтому всегда лучше исходить из худшего.

Впрочем, применительно в компьютерным программам, это решение применимо лишь отчасти. И лишь формально способ контроля вредоносного программного обеспечения, предлагаемый в данном дипломном проекте, можно отнести к средствам контршпионажа.

 

1 Анализ угроз вычислительному процессу предприятия от вредоносного программного обеспечения

1.1 Классификация вредоносного программного обеспечения

Вредоносная программа (жаргонное «вредоноска», буквальный перевод англоязычного термина Malware, malicious - злонамеренный и software - программное обеспечение, жаргонное название - «малварь», «маловарь», «мыловарь» и даже «мыловарня») - это любое программное обеспечение, предназначенное для обеспечения получения несанкционированного доступа к информации, хранимой на ЭВМ, с целью причинения вреда (ущерба) владельцу информации и/или владельцу ЭВМ (сети ЭВМ).

Суть явления вредоносного программного обеспечения состоит в следующем:

Создание помех в  работе рабочей станции (далее РС). Блокировка антивирусных сайтов, антивирусного ПО и административных функций ОС с целью усложнить лечение. Манипуляция внешними устройствами РС (cd/dvd/колонки). Изменение/уничтожение информации.

Инсталляция другого ВПО. Загрузка других файлов из сети internet (downloader). Распаковка другой вредоносной программы, уже содержащейся внутри файла (dropper).

Кража, мошенничество, вымогательство и шпионаж за пользователем. Для кражи и шпионажа может применяться сканирование жёсткого диска на наличие уникальной информации, регистрация нажатий клавиш и перенаправление пользователя на поддельные сайты, в точности повторяющие исходные ресурсы. Для вымогательства и шантажа с целью получения денежных средств может применяться шифрование файлов. Для мошенничества может использоваться телефонный модем  с целью совершения дорогостоящих звонков, что влечёт за собой значительные суммы в телефонных счетах.

Дестабилизация  работы ПО. Сокрытие или маскировка ВПО с целью оставить на длительное время удаленный доступ к скомпрометированной целевой системе, либо выполнение других действий (например рассылка спама).

Прочая деятельность. Шуточный функционал, делающий какие-либо беспокоящие пользователя вещи: открытие-закрытие внешнего привода, включения/отключения монитора и устройств ввода, показ рекламы (adware).

Иногда нагрузка представляет собой функционал по установке дополнительных утилит: IRC-клиенты, программные маршрутизаторы. Такое ПО вредоносным не является, но из-за того, что за ним часто стоит истинно вредоносная программа, детектируется антивирусами.

Методы размножения:

- Эксплойт - теоретически безобидный набор данных, некорректно воспринимаемый программой, работающей с такими данными. Здесь вред наносит не сам файл, а неадекватное поведение ПО с ошибкой.

- Логическая бомба - в программе срабатывает механизм при определённом условии (таймер), и неотделима от полезной программы-носителя.

- Троянская программа - не имеет собственного механизма размножения.

- Компьютерный вирус - размножается в пределах компьютера и через сменные диски. Размножение через сеть возможно, если пользователь сам выложит заражённый файл в сеть. Вирусы, в свою очередь, делятся по типу заражаемых файлов (файловые, загрузочные, макро-, автозапускающиеся); по способу прикрепления к файлам (паразитирующие, «спутники» и перезаписывающие) и т. д.

- Сетевой червь - способен самостоятельно размножаться по сети. Делятся на IRC-, почтовые, размножающиеся с помощью эксплойтов и т. д.

ВПО может образовывать цепочки: например, с помощью эксплойта  на компьютере жертвы развёртывается загрузчик (2), устанавливающий из интернета червя.

1.2 Каналы распространения вредоносного программного обеспечения

Путями проникновения  вируса могут служить как мобильные  носители, так и сетевые соединения - фактически, все каналы, по которым можно скопировать файл.

Дискеты и  лазерные диски. Самым распространённый канал заражения в 1980-2000 годы был через файловый либо boot-сектор сменного носителя (дискеты). Сейчас практически отсутствует из-за появления более распространённых и эффективных каналов и отсутствия флоппи-дисководов на многих современных компьютерах. Но сам принцип процветает на применяемых сменных дисках CD, DVD и BD.

Твердотельные накопители (USB-флеш).В настоящее время USB-накопители заменяют дискеты и повторяют их судьбу, большое количество ВПО распространяется через съёмные накопители, включая цифровые фотоаппараты, цифровые видеокамеры, цифровые плееры (MP3-плееры), сотовые телефоны. Использование этого канала ранее было преимущественно обусловлено возможностью создания на накопителе специального файла autorun.ini (только для Windows), в котором можно указать запускаемую программу, при открытии такого накопителя.

Электронная почта. Обычно ВПО в письмах электронной почты маскируется под безобидные вложения: картинки, документы, музыку, ссылки на сайты. В некоторых письмах могут содержаться действительно только ссылки, т.е. в самих письмах может и не быть вредоносного кода, но если открыть такую ссылку, то можно попасть на специально созданный веб-сайт, содержащий вредоносный код. Многие почтовые вирусы, попав на компьютер пользователя, затем используют адресную книгу из установленных почтовых клиентов типа Outlook для рассылки самого себя дальше.

ПО обмена мгновенными сообщениями. Распространена рассылка ссылок под видом фото, музыка либо программы, в действительности являющиеся вирусами, по ICQ и через другие программы мгновенного обмена сообщениями.

Веб-страницы. Возможно также заражение через страницы internet ввиду наличия на страницах всемирной паутины различного «активного» содержимого: скриптов, ActiveX-компонент. В этом случае используются уязвимости программного обеспечения, установленного на компьютере пользователя, либо уязвимости в ПО владельца сайта (что опаснее, так как заражению подвергаются добропорядочные сайты с большим потоком посетителей), а ничего не подозревающие пользователи, зайдя на такой сайт, рискуют заразить свой компьютер.

1.3 Описание популярных видов вредоносного программного обеспечения

Определяющим фактором ближайшего десятилетия станет уход ОС Windows с позиций главной пользовательской операционной системы. Детище Microsoft, впрочем, по-прежнему будет основной платформой для корпораций, однако рядовые пользователи вполне смогут удовлетворять свои потребности, работая в иных операционных системах, количество которых возрастет. Стоит отметить, что уже сейчас число пользователей Интернет, выходящих в Сеть не с Windows-устройств, практически сопоставимо с количеством Windows-клиентов (а то и превышает эту цифру).

Рост числа новых  ОС скажется на процессе появления  новых угроз: киберпреступники не смогут одновременно успешно писать вредоносный код для большого количества различных платформ – им придется выбирать что-то одно: или много разных пользовательских ОС и устройств под их управлением, либо специализация на Windows и атаках на корпорации. Очевидно, второй вариант будет для них предпочтительнее: к 2020 году зарабатывать на пользователях будет значительно сложнее, так как наметившийся тренд эволюционирования систем электронных платежей и онлайн-банкинга сохранится, подобные устройства постепенно трансформируются в биометрические системы, системы персонификации пользователей и защиты платежей.

Пока же наибольшую опасность  представляют следующие виды:

Spyware (шпионское  программное обеспечение). Эта вид ВПО, которое скрытным образом устанавливается на компьютер с целью сбора информации о конфигурации компьютера, пользователя, пользовательской активности без согласия последнего. Также могут производить другие действия: изменение настроек, установка программ без ведома пользователя, перенаправление действий пользователя.

Spyware может осуществлять широкий круг задач, например:

- собор информации о наиболее часто посещаемых сайтов;

- регистрация нажатий  клавиш на клавиатуре (кейлоггеры), создание снимка экрана;

- несанкционированное удалённо управлять компьютером (бэкдор, ботнеты);

- инсталляция на компьютер пользователя дополнительные программы;

- участи в сетях распределительного вычисления (например перебор паролей);

- модификация параметров операционной системы (system modifying software);

- перенаправление активности браузеров, что влечёт за собой посещение веб-сайтов вслепую с риском заражения вирусами, или взлома.

Кейлогер. Это программное обеспечение или аппаратное устройство, регистрирующее каждое нажатие клавиш клавиатуры, или создание снимка пользовательского экрана вокруг курсора мыши, в момент ее использования.

Виды информации, которые  могут контролироваться:

- нажатия клавиш на клавиатуре;

- нажатия клавиш мышки;

- дата и время нажатия;

- снимок экрана вокруг курсора мыши во время клика.

Компьютерный вирус - разновидность компьютерных программ, отличительной особенностью которых является способность к размножению (саморепликация). В дополнение к этому вирусы могут без ведома пользователя выполнять прочие произвольные действия, в том числе наносящие вред пользователю и/или компьютеру. По этой причине вирусы относят к вредоносным программам.

Вирусы распространяются, копируя  свое тело и обеспечивая его последующее  исполнение: внедряя себя в исполняемый  код других программ, заменяя собой  другие программы, прописываясь в автозапуск и другое. Вирусом или его носителем могут быть не только программы, содержащие машинный код, но и любая информация, содержащая автоматически исполняемые команды - например, пакетные файлы и документы Microsoft Word и Excel, содержащие макросы. Кроме того, для проникновения на компьютер вирус может использовать уязвимости в популярном программном обеспечении (например, Adobe Flash, Internet Explorer, Outlook), для чего распространители внедряют его в обычные данные (картинки, тексты, и т. д.) вместе с эксплойтом, использующим уязвимость.

Ныне существует немало разновидностей вирусов, различающихся по основному  способу распространения и функциональности. Если изначально вирусы распространялись на дискетах и других носителях, то сейчас доминируют вирусы, распространяющиеся через internet. Растёт и функциональность вирусов, которую они перенимают от других видов программ.

В настоящее время не существует единой системы классификации и  именования вирусов (хотя попытка создать  стандарт была предпринята на встрече CARO в 1991 году).