Автор работы: Пользователь скрыл имя, 22 Февраля 2013 в 11:47, дипломная работа
Проблема с вредоносным программным обеспечением (далее ВПО) не является новой, точно также она не исчезнет в ближайшем будущем. Слишком много денег вложено теми людьми, которые используют трояны, вирусы и армии ботов, чтобы просто отказаться от их использования. Целью атак этого вредоносного программного обеспечения являются не только обычные пользователя домашних компьютеров, но и также пользователи корпоративных компьютеров.
Актуальность выполнения дипломного проекта по данной теме обусловлена фактом использования вредоносных программ для решения задач промышленного шпионажа.
ВВЕДЕНИЕ 3
1 АНАЛИЗ УГРОЗ ВЫЧИСЛИТЕЛЬНОМУ ПРОЦЕССУ ПРЕДПРИЯТИЯ ОТ ВРЕДОНОСНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ 5
1.1 КЛАССИФИКАЦИЯ ВРЕДОНОСНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ 5
1.2 КАНАЛЫ РАСПРОСТРАНЕНИЯ ВРЕДОНОСНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ 6
1.3 ОПИСАНИЕ ПОПУЛЯРНЫХ ВИДОВ ВРЕДОНОСНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ 7
1.4 ОБЗОР ВПО НА ПРИМЕРЕ ВИРУСА WIN32.MANIAC.B 9
1.5 ПОСТАНОВКА ЗАДАЧИ НА ДИПЛОМНОЕ ПРОЕКТИРОВАНИЕ 12
2 МЕТОДЫ БОРЬБЫ С ВРЕДОНОСНЫМ ПРОГРАММНЫМ ОБЕСПЕЧЕНИЕМ 13
2.1 КОНТРОЛЬ ПРИЛОЖЕНИЙ 13
2.2 ОРГАНИЗАЦИЯ КОНТРОЛЯ ПРИЛОЖЕНИЙ В СРЕДЕ WINDOWS 14
2.3 ОРГАНИЗАЦИЯ КОНТРОЛЯ ПРИЛОЖЕНИЙ В СРЕДЕ UNIX 16
2.4 ПРОАКТИВНЫЕ ТЕХНОЛОГИИ 16
2.5 АНТИВИРУСНАЯ ЗАЩИТА 18
2.6 ОРГАНИЗАЦИОННЫЕ МЕРЫ 20
3 РАЗРАБОТКА СИСТЕМЫ ПО ОБНАРУЖЕНИЮ ЗАПРЕЩЕННОГО И ВРЕДОНОСНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ 22
3.1 ПРОЦЕСС РАЗРАБОТКИ 22
3.2 ИСПОЛЬЗУЕМЫЕ ТЕХНОЛОГИИ В ХОДЕ РАЗРАБОТКИ 23
3.2.1 ТРАНСПОРТНЫЙ ПРОТОКОЛ UDP 23
3.2.2 СИГНАТУРНОЕ ОБНАРУЖЕНИЕ 24
3.2.3 ПРОЦЕССЫ В СРЕДЕ ОС UNIX 26
3.3 ПОИСК И СОЗДАНИЕ СИГНАТУРЫ 29
3.4 ПРИНЦИП РАБОТЫ РАЗРАБОТАННОЙ СИСТЕМЫ ПО ОБНАРУЖЕНИЮ ВПО LA_SERVER.PL И LA_CONSOLE.PL 30
РИСУНОК 17 – ДЕМОНСТРАЦИЯ РАБОТЫ LA_SERVER.PL И LA_CONSOLE.PL ПО ШИРОКОВЕЩАТЕЛЬНОМУ КАНАЛУ. 32
3.5 РАЗБОР РАБОТЫ СЕРВЕРНОЙ ЧАСТИ LA_SERVER.PL 33
3.5 РАЗБОР РАБОТЫ КЛИЕНТСКОЙ ЧАСТИ LA_CONSOLE.PL 40
ЗАКЛЮЧЕНИЕ 46
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 47
ПРИЛОЖЕНИЯ 48
IN_CLOSE_WRITE - файл, открывавшийся для записи, был закрыт;
IN_CLOSE_NOWRITE - файл, открывавшийся не для записи, был закрыт;
IN_CREATE - файл/каталог был
создан в наблюдаемой
Проактивные технологии – совокупность технологий и методов, используемых в средствах защиты и поиска ВПО, основной целью которых, является предотвращение заражения системы пользователя, или проникновение в нее, не используя известных сигнатур.
Далее будут рассмотрены технологии проактивной защиты среди антивирусного ПО.
Эвристический анализ. Методы эвристического сканирования не обеспечивают какой-либо гарантированной защиты от новых, отсутствующих в сигнатурном наборе компьютерных вирусов, что обусловлено использованием в качестве объекта анализа сигнатур ранее известных вирусов, а в качестве правил эвристической верификации — знаний о механизме полиморфизма сигнатур. В то же время, поскольку этот метод поиска базируется на эмпирических предположениях, полностью исключить ложные срабатывания нельзя.
В ряде случаев эвристические методы оказываются чрезвычайно успешными, к примеру, в случае очень коротких программных частей в загрузочном секторе: если программа производит запись в сектор 1, дорожку 0, сторону 0, то это приводит к изменению раздела накопителя. Но кроме вспомогательной программы fdisk эта команда больше нигде не используется, и потому в случае её неожиданного появления речь идёт о загрузочном вирусе.
В процессе эвристического анализа производится проверка эмулируемой программы анализатором кода. К примеру, программа инфицирована полиморфным вирусом, состоящим из зашифрованного тела и расшифровщика. Эмулятор кода считывает инструкции в буфер антивируса, разбирает их на инструкции и производит их исполнение по одной инструкции, после этого анализатор кода подсчитывает контрольную сумму и сверяет её с той, которая хранится в базе. Эмуляция будет продолжаться до тех пор, пока необходимая для подсчета контрольной суммы часть вируса не будет расшифрована. Если сигнатура совпала — программа определена.
Эмуляция кода. Технология эмуляция позволяет запускать приложение в среде эмуляции, эмулируя поведение ОС или центрального процессора. При выполнении приложения в режиме эмуляции приложение не сможет нанести вреда системе пользователя, а вредоносное действие будет детектировано эмулятором.
Несмотря на кажущуюся эффективность данного подхода, он также не лишен недостатков – эмуляция занимает слишком много времени и ресурсов компьютера пользователя, что негативно сказывается на быстродействии при выполнении повседневных операций, также, современные вредоносные программы способны обнаруживать выполнение в эмулированной среде и прекращать свое выполнение в ней.
Анализ поведения. Технология анализа поведения основывается на перехвате всех важных системных функций или установке т.н. мини-фильтров, что позволяет отслеживать всю активность в системе пользователя. Технология поведенческого анализа позволяет оценивать не только единичное действие, но и цепочку действий, что многократно повышает эффективность противодействия вирусным угрозам. Также, поведенческий анализ является технологической основой для целого класса программ – поведенческих блокираторов (HIPS).
Песочница (sandboxing). Технология Песочницы работает по принципу ограничения активности потенциально вредоносных приложений таким образом, чтобы они не могли нанести вреда системе пользователя.
Ограничение активности достигается
за счет выполнения неизвестных приложений
в ограниченной среде – собственно
песочнице, откуда приложение не имеет
прав доступа к критическим
Виртуализация рабочего окружения. Технология виртуализации рабочего окружения работает с помощью системного драйвера, который перехватает все запросы на запись на жесткий диск и вместо выполнения записи на реальный жесткий диск выполняет запись в специальную дисковую область – буфер. Таким образом, даже в том случае, если пользователь запустит вредоносного программное обеспечение, оно проживет не далее чем до очистки буфера, которая по умолчания выполняется при выключении компьютера. Однако, следует понимать, что технология виртуализации рабочего окружения не сможет защитить от вредоносных программ, основной целью которых является кража конфиденциальной информации, т.к. доступ на чтение к жесткому диску не запрещен.
В настоящее время проактивные технологии являются важным и неотъемлемым компонентом антивирусного программного обеспечении, более того, как правило, в антивирусных продуктах используется сочетание сразу нескольких технологий проактивной защиты, например эвристический анализ и эмуляция кода успешно сочетаются с поведенческим анализом, что позволяет многократно повысить эффективность современных антивирусных продуктов против новых, все более и более изощренных вредоносных программ.
Несомненно для снижения уровня угроз от ВПО необходимо использовать антивирусное ПО, которое использует базу уже известных сигнатур, а так же имеет технологии рассмотренные в предыдущем параграфе.
Для эффективной антивирусной защиты
как показывает практика, лучше использовать
несколько разных антивирусных решений,
которые имеют свои уникальные механизмы
работы. В этом случаи полезен будет дистрибутив
на основе GNU Linux – ViAvRe (http://code.google.com/p/
ViAvRe (Virtual AntiVirus REcheck) работает загружаясь в память и не требует установку на жесткий диск (Live-cd), что позволяет делать проверку не используя основную ОС. ViAvRe имеет в своем комплекте 6 антивирусов: Avg, Avast, Doctor Web (CureIt), McAfee, BitDefender, Nod32.
В таблице 1 приведен перечень популярного антивирусного ПО.
Таблица 1 – Наиболее популярной антивирусное ПО
Наименование |
Платформа |
Лицензия |
Avast Internet Security |
Windows |
Платное ПО |
Comodo Internet Security |
Windows |
Платное/бесплатное ПО |
ClamAV |
Windows/Unix |
Бесплатное ПО |
Dr.Web Security Space |
Windows/Unix |
Платное/бесплатное ПО |
Eset Smart Security |
Windows/Unix |
Платное ПО |
Kaspersky Internet Security |
Windows |
Платное ПО |
McAfee Internet Security |
Windows |
Платное ПО |
Outpost Security Suite Pro |
Windows |
Платное ПО |
ZoneAlarm Internet Security |
Windows |
Платное ПО |
Нужно помнить о том, что каким бы популярным не было антивирусное ПО, 100% защиты он не даст, ведь каждый день в сеть попадают сотни элементов ВПО, сигнатуры которых не известны, а те которые уже известны, авторы ВПО с легкостью изменяют программный код и антивирус уже бесполезен.
На рисунке 5 представлено антивирусное ПО с анализом и наградами по информации ресурса anti-malware.ru.
Рисунок 5 – Награды антивирусному ПО ресурсом anti-malware.ru
Для эффективного повышения информационной безопасности (далее ИБ) периметра, кроме технических мер, необходимо выполнять меры организационные. Для этого необходимо разрабатывать и внедрять политики безопасности.
Политика информационной безопасности (далее ПИБ) - совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.
Для построения ПИБ рекомендуется отдельно рассматривать следующие направления защиты ИС:
- защита объектов информационной системы;
- защита процессов, процедур и программ обработки информации;
- защита каналов связи;
- подавление побочных электромагнитных излучений;
- управление системой защиты.
При этом, по каждому из перечисленных выше направлений ПИБ должна описывать следующие этапы создания средств защиты информации:
- определение информационных и технических ресурсов, подлежащих защите;
- выявление полного множества потенциально возможных угроз и каналов утечки информации;
- проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
- определение требований к системе защиты;
- осуществление выбора средств защиты информации и их характеристик;
- внедрение и организация использования выбранных мер, способов и средств защиты;
- осуществление контроля целостности и управление системой защиты.
ПИБ оформляется в виде документированных требований на ИС. Документы обычно разделяют по уровням описания (детализации) процесса защиты.
Документы верхнего уровня ПИБ отражают позицию организации к деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам в этой области. Подобные документы могут называться «Концепция ИБ», «Регламент управления ИБ», «Политика ИБ», «Технический стандарт ИБ» и т. п. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться и в двух редакциях — для внешнего и внутреннего использования.
К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности (безопасность данных, коммуникаций, средства фильтрации сетевой активности и тд.). Это требования на создание и эксплуатацию средств защиты информации, организацию информационных и бизнес-процессов организации по конкретному направлению защиты информации.
В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.
На рисунке 6 показана модель построения корпоративной системы защиты информации.
Рисунок 6 - Модель построения корпоративной системы защиты информации
Ниже приведен перечень актуальных стандартов по вопросам безопасности информации:
- ISO 1779:2005 Информационные технологии – Методики безопасности;
- ISO/IEC TR 13335-3:1998 Методы и средства обеспечения безопасности – Методы менеджмента безопасности информационных технологий;
- СТБ П ISO/IEC 27001-2008 Информационные технологии. Технологии безопасности. Системы управления защитой информации. Требования;
- ГОСТ Р ИСО/МЭК 13335* Информационная технология. Методы и средства обеспечения безопасности;
- OSSTMM - Open Source Security Testing Methodology Manual.
Разработка ПО поводилась на ноутбуке HP ProBook 4710s под управлением GNU Linux Debian 6. На данном ноутбуке была смоделирована одноранговая ЛВС при помощи виртуальной машины VirtualBox 4, состоящая из трех рабочих станций на базе FreeBSD, OpenBSD и GNU Linux Debian.
В качестве среды разработки использовалось ПО Geany ( http://geany.org ). Geany поддерживает массу языков программирования (C, Perl, ...) и распространяется под лицензий GNU GPL.
В качестве языка для разработки, выбор пал на скриптовой язык программирования высокого уровня - Perl ( http://perl.org ), который позволяет выполнять подобные задачи с наименьшими время-затратами.
На рисунке 7 показан снимок экрана, где изображен процесс работы среды разработки geany.
Рисунок 7 — Среда разработки Geany.
UDP (User Datagram Protocol) - это транспортный протокол для передачи данных в сетях IP без установления соединения. Он является одним из самых простых протоколов транспортного уровня модели OSI и хорошо подходит для поставленной задачи.
Для вычисления максимальной длины данных в UDP-сообщении при передаче в IP сетях необходимо учесть, что UDP-сообщение в свою очередь является содержимым области данных IP-сообщения. Максимальная длина IP-сообщения (с учетом заголовка) равна 65535 октетов. Потому максимальная длина UDP-сообщения (за вычетом минимального IP-заголовка) равна 65535 − 20 = 65515 октетов. Длина заголовка UDP-сообщения равна 8 октетам, следовательно, максимальная длина данных в UDP-сообщении равна 65515 − 8 = 65507 октетов. На практике нерационально использовать максимальную величину IP пакета, так как такой размер превышает MTU (Maximum Transmission Unit) основных протоколов канального уровня, и следовательно требует фрагментации IP пакета, поэтому обычно используется размер, соотнесенный с MTU используемого канального протокола, что мы и будет делать при разработки.