Классификация угроз и атак на операционную систему (Угрозы. Классификация угроз. Источники угроз)

Содержание:

ВВЕДЕНИЕ

Еще несколько десятков лет компьютером называлась огромная вычислительная машина, которые занимали очень большое количество мест в помещении, целью данных компьютеров были математические вычисления.

В нашем современном мире компьютер имеется у каждого второго человека и в каждом предприятии. Компьютер- устройство или система, способная выполнять заданную, четко определенную последовательность операций . Чаще всего операции численных расчетов и манипуляции данных.

Например, любая информация, которая относится к бизнесу, очень важна.

Пользуясь собранной и обработанной информацией, можно успешно конкурировать на рынке.

Исходя из этого, безопасность стала одна из наиболее актуальных тем в области информационных технологий

Защита информации- это комплекс мероприятий, направленный на обеспечение информационной безопасности.

В 21 веке любой пользователь, владелиц собственного бизнеса задумывался над вопросами безопасности личной или коммерческой информации.

На данный момент происходит стремительное развитие информационных технологий и их проникновение во все сферы человеческой деятельности , возросло количество преступлений, направленных против информационной безопасности.

Большой интерес со стороны кибер-преступников вызывает деятельность государственных структур и коммерческих предприятий. Целью является хищение, разглашение конфиденциальной информации, подрыв деловой репутации, нарушение работоспособности и, как следствие, доступности информационных ресурсов организации. Данные действия наносят огромный моральный и материальный ущерб.

Однако риску подвергаются не только крупные компании, но и частные пользователи. С помощью различных средств преступники получают доступ к персональным данным – номерам банковских счетов, кредитных карт, паролям, выводят систему из строя или получают полный доступ к компьютеру. В дальнейшем такой компьютер может использоваться как часть зомби-сети – сети зараженных компьютеров, использующихся злоумышленниками для проведения атак на сервера, рассылки спама, сбора конфиденциальной информации, распространения новых вирусов и троянских программ.

Сегодня все признают, что информация является ценным достоянием и подлежит защите. В то же время информация должна быть доступной для определенного круга пользователей (например, сотрудникам, клиентам и партнерам предприятия). Таким образом, встает вопрос о создании комплексной системы информационной безопасности. Такая система должна учитывать все возможные источники угроз (человеческий, технический и стихийный факторы) и использовать весь комплекс защитных мер, таких как физические, административные и программно-технические средства защиты.

В данной курсовой работе, предлагаю изучить и разобраться каким угрозам и атакам может подвергаться операционная система.

1. Угрозы. Классификация угроз. Источники угроз.

В качестве источника угроз информационной безопасности может выступать человек либо группа людей, а также некие, независящие от деятельности человека, проявления. Исходя из этого все источники угроз можно разделить на три группы:

• Человеческий фактор. Данная группа угроз связана с действиями человека, имеющего санкционированный или несанкционированный доступ к информации. Угрозы этой группы можно разделить на:
  • внешние, к ним относятся действия кибер-преступников, хакеров, интернет-мошенников, недобросовестных партнеров, криминальных структур.
  • внутренние, к ним относятся действия персонала компаний, а также пользователей домашних компьютеров. Действия данных людей могут быть как умышленными, так и случайными.
• Технический фактор. Эта группа угроз связана с техническими проблемами – физическое и моральное устаревание использующегося оборудования, некачественные программные и аппаратные средства обработки информации. Все это приводит к отказу оборудования и зачастую потери информации.
• Стихийный фактор. Эта группа угроз включает в себя природные катаклизмы, стихийные бедствия и прочие форс-мажорные обстоятельства, независящие от деятельности людей.

Все три источника угроз необходимо обязательно учитывать при разработке системы защиты информационной безопасности.

Развитие современных компьютерных технологий и средств связи дает возможность злоумышленникам использовать различные источники распространения угроз. Рассмотрим их подробнее:

Основным источником распространением угроз является интернет.

Интернет уникален тем, что не является чьей-то собственностью и не имеет территориальной границы. Это способствует развитию многочисленных веб-ресурсов и обмену информацией. В данный момент любой пользователь может получить доступ к данным, хранящимся в интернете. Или создать свой собственный веб-ресурс.

Злоумышленники благодаря такой возможности имебт возможность совершать преступления в интернете, при этом затрудняя их обнаружение и наказание.

Злоумышленники размещают вирусы и другие вредоносные программы на веб-ресурсах, "маскируют" их под полезное и бесплатное программное обеспечение. Кроме того, скрипты, автоматически запускаемые при открытии веб-страницы, могут выполнять вредоносные действия на вашем компьютере, включая изменение системного реестра, кражу личных данных и установку вредоносного программного обеспечения.

Используя сетевые технологии, злоумышленники реализуют атаки на удаленные частные компьютеры и сервера компаний. Результатом таких атак может являться выведение ресурса из строя, получение полного доступа к ресурсу, а, следовательно, к информации, хранящемся на нем, использование ресурса как части зомби-сети.

В связи с появлением кредитных карт, электронных денег и возможностью их использования через интернет (интернет-магазины, аукционы, персональные страницы банков и т.д.) интернет-мошенничество стало одним из наиболее распространенных преступлений.

Дэвид Эмм (David Emm), старший региональный исследователь "Лаборатории Касперского", отметил: "Попытки тотального запрета на использование социальных сетей похожи на борьбу с приливом; гораздо лучше научиться управлять им". Тревожный вывод состоит в том, что в организациях этот вопрос не проработан. В будущем управление использованием социальных сетей и предотвращение бесконтрольного доступа в интернет могут стать основными признаками хорошо защищенной организации.

Социальные сети опасны не столько сами по себе, сколько тем, что пользователи переходят по рекламным ссылкам и участвуют в опросах, предлагаемых в социальных сетях. Еще более опасен общий настрой "делиться информацией", который, судя по всему, значительно вырос. FTP-сайты и файлообменные сервисы несут в себе множество серьезных рисков для ИТ-безопасности, однако воспринимаются многими как безопасные. ИТ-подразделениям необходимо осознать серьезность новых опасностей и то, что они представляют наивысшую степень угрозы для конечных пользователей. Только тогда организации любых размеров смогут сделать объективную переоценку своего состояния безопасности и подхода к ней.

1.1 Электронная почта.

Наличие почтовых приложений практический на каждом компьютере и гаджете, вредоносные программы полностью используют содержимое электронных адресных книг для выявления новых жертв, обеспечивает благоприятные условия для распространения вредоносных программ. Если удалось заразить компьютер, то пользователь сам того не подозревая, рассылает зараженные письма адресатам, которые по цепочки могут инфицировать другие компьютеры.

Например: Sircam рассылал себя с зараженных компьютеров в виде файлов, вложенных в письма электронной почты.

Для этого случайным образом на жестком диске выбирался файл, к которому прикреплялся вирусный код (дописывался в конец файла). Таким образом отсылаемые письма содержали вложение, состоящее из двух частей: вирус и файлприманку.

Имя вложения формировалось на основе выбранного файла - например, если исходный файл назывался photos.zip, то имя вложения было - photos.zip.pif, photos.zip.lnk, photos.zip.bat или photos.zip.com.

Адреса получателей выбирались из найденных на зараженном компьютере, а текст писем составлялся так, чтобы внушить как можно меньше подозрений и заставить адресата запустить полученный файл.

Побочным эффектом такого способа распространения является утечка с зараженного компьютера конфиденциальных документов.

Помимо угрозы проникновения вредоносных программ существует проблема внешней нежелательной почты рекламного характера, т.е спама.

Спам-это проблема века. И однозначно, со спамом нужно бороться.

Спам-это массовая рассылка сообщений различного содержания.

«Лаборатория Касперского» дает определение спаму, как анонимное массовая непрошенная рассылка.

Почему анонимная? Потому что страдают все, в основном, именно от автоматических рассылок со скрытым или фальсифицированным обратным адресом.

Массовая, потому что рассылки как раз таки массовые, а не для конкретного пользователя, и эта массовость является бизнесом для спамеров и настоящей «болезнью» для пользователей.

Спам является очень серьезной проблемой нашего времени, проблема которая создает множество неудобств очень многим пользователям.

Мошенничество, захламление почтовых ящиков, распространение вирусов, вымогательство это только малая часть, что делается при помощи спама. Исходя из статьи Кирьянова К.В на тему спама, то понятие которое мы имеем не корректное.

Принято понимать два обобщенных типа: :UCE - «коммерческий» спам — «unsolicited commercial e-mail» и (UBE) «некоммерческий» — «unsolicited bulk e-mail»

По статистике на апрель 2014 года, собранной Лабораторией Касперского, спам составил 71.1% глобального почтового трафика.

К тому же это на 7,6% больше чем в марте месяце. Причиной возросшего количества сообщений стали пасхальные праздники.

Собственно, практически каждый значимый праздник, становится «праздником» для спамеров.

Такое количество бесполезных сообщений создаёт проблему для компаний предоставляющих услуги электронной почты, ведь это в разы увеличивает нагрузку на серверы, и заставляет тратить большее количество денег на оборудование.

В роли источника такой рассылки может выступать как сами спамеры так и ни о чём не подозревающий пользователь, чей IP адрес или адрес электронной почты, был захвачен злоумышленниками и используется для рассылки.

В США в декабре 2003 года вступил в силу закон, согласно которому злостные отправители спама могут быть оштрафованы на сумму до 6 млн. долл. и заключены под стражу на пять лет.

Однако, согласно исследованиям компании CipherTrust, 86% спама, полученного в период с мая по июль этого года, пришло именно из США.

Для получения этих сведений компания исследовала около 5 млн. нежелательных писем, отправленных одной тысяче клиентов CipherTrust. В то время как американские спамерские IP-адреса составляют только 28% от общего количества, с них рассылается во много раз больше спама, чем со спамерских адресов в других странах.

Похоже, спамеров из США не сильно пугает вышеупомянутый закон.

Для сравнения: доля спамерских адресов Южной Кореи составляет 29%, но оттуда приходит только 3% сообщений от общего количества, из Китая и Гонконга — тоже 3%, из Канады — 2%, а украинские спамеры вносят свой вклад в размере 1,5% от всех полученных непрошеных сообщений.

Малоэффективными считают законодательные меры по борьбе со спамом и в компании Sophos, занимающейся разработкой программ для борьбы с вирусами и спамом.

В опубликованном компанией отчете о распространении спама в мире говорится, что 42% спамерской корреспонденции рассылается из США, что, по мнению экспертов компании, свидетельствует о бесполезности принятого в этой стране запрета на спам.

Австралийский опыт, напротив, говорит о положительном эффекте административных и законодательных мер по борьбе со спамом.

Недавно Министерство коммуникаций сообщило о позитивных результатах борьбы со спамом вследствие введения крупных штрафов — до 780 тыс. долл. в день.

Как заявил глава этого ведомства Боб Хортон (Bob Horton), принятый в апреле 2004 года пакет законов был направлен на борьбу с крупными спамерами.

Компания Spamhaus, отслеживающая циркулирующие в сети потоки спама, подтвердила слова министра, отметив, что количество несанкционированной рекламы, исходящей с австралийских серверов, в последнее время значительно уменьшилось. После введения новых законов крупные австралийские спамеры стараются перенести свои операции в другие страны.

Некоторые борцы со спамом ратуют за установление законов, согласно которым компании получат право рассылать рекламу по электронной почте при соблюдении ряда условий:

• необходимо указывать реальные электронный и физический адреса организаторов рассылки;
• заголовок письма должен соответствовать его содержанию;
• реклама сексуального характера должна четко обозначаться;
• в каждом рекламном письме должен быть описан способ отказа от рекламы.

Нарушителям этих правил грозит до пяти лет тюремного заключения и крупные штрафы.

Некоторые же, однако, считают, что подобные законы малоэффективны и приведут к увеличению объемов рекламных рассылок, которые, по сути, станут узаконенными.

Решить проблему спама берутся самые разные организации. В частности, ООН намерена установить контроль за рассылками электронных писем в течение ближайших двух лет путем стандартизации законодательства во всем мире, чтобы было легче преследовать спамеров в судебном порядке.

Основные технологии, используемые спамерами при рассылках, остаются прежними:

• использование троянского ПО, установленного незаметно для пользователя на его компьютере;
• применение настроенных по умолчанию (то есть без пароля или с известным паролем) клиентских устройств доступа — ADSL-модемов, клиентских роутеров, WiFi-устройств, которые позволяют сразу (или после перенастройки злоумышленником) использовать пользовательские мощности для рассылки;
• использование старых добрых средств — открытых релеев, CGI-скриптов на сайтах и др., не изменившихся за последние шесть-восемь лет;
• NDR-attack (Non Delivery Report) — посылка письма с поддельным отправителем на несуществующий адрес. Отчет о недоставке, содержащий спам-сообщение, будет отправлен поддельному отправителю.

1.2 Съемные носители информации

29-летний аналитик крупной компьютерной фирмы Дэниел Харрингтон (Daniel Harrington) вряд ли мог предположить, что станет причиной скандала государственной важности. В конце октября прошлого года съемный носитель, принадлежавший Харрингтону, был найден на общественной автомобильной парковке около паба в английском городе Кэннок, графство Стаффордшир. И все бы ничего, да только на этом носителе были размещены секретные пароли доступа к глобальной базе данных английского электронного правительства Government Gateway.

На самом деле этот случай — не только результат халатности отдельного сотрудника, он отражает общую тенденцию информационной безопасности последних лет. С развитием информационных технологий секретная и ценная информация стала текучей, как никогда, а съемные носители являются настоящей головной болью офицеров безопасности и специалистов по управлению рисками.

Сегодня можно с уверенностью утверждать, что важнейшим активом любой современной компании является информация. Как и всякий критически важный актив, информация нуждается в защите, а в случае ее утечки компания несет довольно серьезные убытки.

Институт Ларри Понемона давно пытается оценить масштаб этих потерь в численном эквиваленте. По данным отчетов за 2008 год, средние убытки в результате всего лишь одного инцидента измеряются миллионами долларов.

Больше всего достается американским компаниям — они теряют от утечки в среднем 6,6 млн долл. Английским и немецким организациям пока приходится не так тяжело: средний ущерб от инцидента в этих странах составил 1,73 млн фунтов стерлингов и 2,41 млн евро  соответственно.

Очевидно, что для подавляющего большинства организаций данные суммы весьма существенны. Они автоматически делают проблему утечек одной из наиболее приоритетных, для корпоративных служб информационной безопасности.

Проблема заключается в том, что организации неправильно проводят декомпозицию угроз — они защищаются от тех каналов утечки, которые на деле являются не слишком критичными.

Пожалуй, самым простым примером является всеобщая ориентация рынка на защиту от так называемых внешних угроз — вредоносного ПО, спама или хакерских вторжений. Конечно, эти угрозы никуда не исчезают, однако, по данным Ponemon Institute (для США) , на них приходится не более 7% всех инцидентов. Оставшиеся 93% утечек вызваны действиями инсайдеров — сотрудников с санкционированным доступом к конфиденциальной информации.

В этом смысле различные мобильные носители являются едва ли не идеальным каналом утечки. Они далеко не всегда контролируются службой безопасности (в отличие, например, от электронной почты) и обладают достаточной емкостью, чтобы вместить все интересующие данные.

Исходя из этого, нам стоит подумать о вариантах защиты информации на съёмных носителях, для организации нужно решить, стоит ли применять варианты защиты.

Рассмотрим средства разграничения доступа.

На ступени эволюции средств защиты находятся системы контроля доступа пользователей к портам компьютера, принтерам, а также к локальным подключениям смартфонов и КПК. В отличие от физических мер, полностью блокирующих доступ, они позволяют более тонко разграничивать доступ, причем делать это централизованно: с помощью интегрированной консоли управления офицер безопасности определяет, каким пользователям предоставить доступ к тем или иным локальным портам, на каких компьютерах и на какое время. Кроме того, такие системы могут поддерживать workflow-механизмы, предоставляющие пользователю доступ к той или иной операции по его запросу.

Если система контроля запрещает пользователю доступ к тому или иному порту, интерфейсу или принтеру в конкретный момент времени — угроза утечки информации отсутствует.

В противном случае утечка возможна, однако ее последствия можно минимизировать с помощью механизмов теневого копирования.

Данный функционал (кстати, он реализован далеко не во всех представленных на рынке продуктах) позволяет сохранить копию всей передаваемой информации в централизованной базе данных.

Таким образом, офицер безопасности всегда может проверить, какая информация покинула корпоративную информационную систему и по каждому из возможных локальных каналов передачи данных.

В ряде современных систем контроля доступа к локальным портам и подключениям реализована полезная возможность определения политик, зависящих от типа передаваемых данных.

Данная функция предполагает, например, что можно разрешить передавать на съемные носители файлы Microsoft Word, но запретить данную операцию для файлов PDF. То есть система не только отслеживает операцию передачи, но и фильтрует типы передаваемых по локальным каналам данных.

1.3 DLP-системы

Отмеченная выше особенность роднит системы контроля доступа со следующим классом систем защиты данных- решениями сегмента DLP (Data Leak Prevention). По определению ведущего отраслевого эксперта в этой области Рича Могулла (Rich Mogull) , именно глубокий анализ информационного содержимого исходящих данных является главной характеристикой DLP-систем. Подобные решения определяют легитимность той или иной операции на базе технологий контентной фильтрации.

Перспективы DLP-систем весьма многообещающи, именно поэтому практически все ведущие игроки рынка информационной безопасности активно инвестируют в развитие этого направления.

Другое дело, что уровень качества их современной реализации пока не позволяет говорить о всеобъемлющем контроле информации, передающейся по локальным портам на мобильные носители. 

Мы можем отметить, что современный уровень технологии контентной фильтрации не позволяет полностью избежать ошибок ложного распознавания содержимого данных — так называемых ложноположительных (false positive) и ложноотрицательных (false negative) срабатываний. В итоге уровень точности систем контентной фильтрации редко превышает 80-85%.

А так же, глубокий контентный анализ — весьма ресурсоемкий процесс. Когда вы отправляете письмо по электронной почте, DLP-система перехватывает его в сети и анализирует на уровне SMTP-сервера с достаточной для этой задачи производительностью.

Если же информация копируется локально, такой подход неприменим, поскольку информация в принципе не попадает в сеть.

В результате создателям DLP-систем приходится идти на компромисс: либо пересылать теневые копии информации на сервер и потом получать по ней вердикт, либо анализировать информацию локально. 

В первом случае, происходит значительная нагрузка на сеть и происходят длительные задержки, особенно это касается, файлов, которые обладают большим количеством информации.

Во втором ,страдает качества анализа, поскольку персональному компьютеру не хватает мощности для данного вида обработки, либо работает по более простым и менее надежным алгоритмам.

IRM-системы

Кроме систем разграничения доступа и DLP-систем существует еще один способ защиты, о котором специалисты почему-то часто забывают.

Речь идет о системах класса IRM (Information Rights Management), которые никак не ограничивают использование съемных носителей, однако существенно снижают вероятность утечек.

Работа типичной IRM-системы строится на базе двух механизмов: меток конфиденциальности и шифрования. Каждый защищаемый с помощью IRM файл помещается в шифрованный контейнер вместе со специальной меткой, определяющей права доступа к нему. Суть IRM состоит в том, что даже если такой контейнер попадет за пределы сети, то без прав доступа к документу он будет совершенно бесполезен.

С точки зрения контроля информации, перемещаемой на съемных носителях, данная схема практически эквивалентна принудительному шифрованию экспортируемых на съемные носители данных, которое часто встречается в системах контроля доступа к портам и периферийным устройствам.

Решения класса IRM разрешают экспорт конфиденциальной информации только в зашифрованном виде, что позволяет всегда защитить компанию от случайных утечек, но редко — от утечек спланированных.

Добавим, что эффективность IRM-систем существенно зависит от количества «помеченных» файлов и интенсивности их модификаций пользователем.

На практике данное требование эквивалентно классификации всех корпоративных данных, что является достаточно трудоемкой задачей.

Подведем итоги, как максимально защитить свой персональный компьютер и операционную систему от угроз.

Онлайн журнал CHIP рекомендует 10 советов по защите компьютера.

И так, кто стремится к максимальной безопасности при работе с Windows, не должны ограничиваться только антивирусным сканером.

Антивирус должен быть установлен на каждом ПК с Windows. Долгое время это считалось золотым правилом, однако сегодня эксперты по IT-безопасности спорят об эффективности защитного ПО. Критики утверждают, что антивирусы не всегда защищают, а иногда даже наоборот — из-за небрежной реализации способны образовать бреши в безопасности системы.

Разработчики же таких решений противопоставляют данному мнению впечатляющие цифры заблокированных атак, а отделы маркетинга продолжают уверять во всеобъемлющей защите, которую обеспечивают их продукты.

Истина лежит где-то посередине. Антивирусы работают небезупречно, однако все их повально нельзя назвать бесполезными. Они предупреждают о множестве угроз, но для максимально возможной защиты Windows их недостаточно. Для пользователя это означает следующее: можно либо выбросить антивирус в мусорную корзину, либо слепо ему довериться.

Но, так или иначе, он всего лишь один из блоков (пусть и крупный) в стратегии безопасности.

Критики говорят, что нынешний спор об антивирусных сканерах спровоцировал бывший разработчик Firefox Роберт О’Каллахан.

Он утверждает: антивирусы угрожают безопасности Windows и должны быть удалены. Единственное исключение — Защитник Windows от Microsoft.

Разработчики говорят, Создатели антивирусов, в том числе Kaspersky Lab, в качестве аргумента приводят впечатляющие цифры. Так, в 2016 году ПО из этой лаборатории зарегистрировало и предотвратило около 760 миллионов интернет-атак на компьютеры пользователей.

Что думает CHIP, Антивирусы не должны считаться ни пережитком, ни панацеей. Они всего лишь кирпичик в здании безопасности.

Мы рекомендуем использовать компактные антивирусы. Но не стоит сильно заморачиваться: Защитник Windows вполне подойдет. Вы можете использовать даже простые сканеры сторонних разработчиков.

И так, вернемся к 10 советам, первое это выбрать правильный антивирус, по многим убеждениям, Windows немыслима без антивирусной защиты.

Это может быть даже встроенный защитник Windows, несмотря на то что, во время тестов он показывает не самую лучшую степень защиты. Но данный Защитник идеально и , что самое важное без каких либо проблем для безопасности встроен в систему.  Кроме того, компания Microsoft доработала свой продукт в обновлении Creators Update для Windows 10 и упростила его управление.

Следующий совет, это настроить брандмауэр.

Встроенный в Windows брандмауэр хорошо справляется со своей работой и надежно блокирует все входящие запросы. Однако он способен на большее — его потенциал не исчерпывается конфигурацией по умолчанию: все установленные программы имеют право без спроса открывать порты в брандмауере. 

Использовать особую защиту.

Обновления, антивирус и браундмауэр — об этой великой трои­це мер безопасности мы уже позаботились. Пришло время тонкой настройки. Проблема дополнительных программ под Windows зачастую состоит в том, что в них не используются все предлагаемые защитные функции системы. Утилита против эксплойтов, такая как EMET (Enhanced Mitigation Experience Toolkit), дополнительно усиливает установленное ПО. Для этого нажмите на «Use Recommended Settings» и позвольте программе работать автоматически.

1.4 Шифрование

Мы можем существенно усилить защиту персональных данных их шифрованием. Даже если наша информация попадет в чужие руки, хорошее кодирование хакеру снять не удастся, во всяком случае не сразу. В профессиональных версиях Windows уже предусмотрена утилита BitLocker, настраиваемая через Панель управления.

Альтернативой для всех пользователей станет VeraCrypt. Эта программа с открытым кодом ­является неофициальным преемником TrueCrypt, поддержка которого прекратилась пару лет назад. Если речь идет лишь о защите личной информации, вы можете создать зашифрованный контейнер через пункт «Create Volume». Выберите опцию «Create an encrypted file container» и следуйте указаниям Мастера. Доступ к готовому сейфу с данными осуществляется через Про­водник Windows, как к обычному диску.

1.5 Активирование VPN вне дома

Дома в беспроводной сети наш уровень безопасности высок, поскольку только вы контролируете, кто имеет доступ к локальной сети, а также несете ответственность за шифрование и коды доступа. Все иначе в случае с хотспотами, например, в отелях.

Здесь Wi-Fi распределяется между посторонними пользователями, и на безопасность сетевого доступа вы не способны оказать какое-либо воздействие. Для защиты рекомендуем применять VPN (Virtual Private Network).

Если Нам нужно просто просмотреть сайты через точку доступа, достаточно будет встроенной VPN в последней версии браузера Opera. Нужно Установить браузер и в «Настройках» нажать на «Безопасность». В разделе «VPN» поставьте флажок для «Включить VPN».

1.6 Управление паролями

Каждый пароль должен использоваться только один раз, а также содержать специальные знаки, цифры, заглавные и прописные буквы.

И еще быть максимально длинным — лучше всего из десяти и более символов. Принцип безопасности, обеспечиваемой паролем, сегодня достиг своих пределов, поскольку пользователям приходится слишком многое помнить. Следовательно, там, где это возможно, следует заменять такую защиту на другие способы.

Возьмем, к примеру, вход в Windows: если у вас есть камера с поддержкой технологии Windows Hello, используйте для авторизации метод распознавания лиц. Для остальных кодов рекомендуем обратиться к менеджерам паролей, таким как KeePass, которые следует защитить мощным мастер-паролем.

Спасательный круг: бэкап

Бэкапы крайне важны Резервное копирование оправдывает
себя не только после заражения вирусом. Оно отлично зарекомендовало себя и при возникновении проблем с аппаратным обеспечением. Наш совет: единожды сделайте копию всей Windows, а затем дополнительно и регулярно — ­бэкапы всех важных данных.

Подведем итог, если в программном обеспечении компьютерной системы нет ошибок и ее администратор строго соблюдает политику безопасности, рекомендованную разработчиками операционной системы, то атаки всех перечисленных типов малоэффективны.

Дополнительные меры, которые должны быть предприняты для повышения уровня безопасности, в значительной степени зависят от конкретной операционной системы, под управлением которой работает данная компьютерная система.

Тем не менее, приходится признать, что вне зависимости от предпринятых мер полностью устранить угрозу взлома компьютерной системы на уровне операционной системы невозможно.

Поэтому политика обеспечения безопасности должна проводиться так, чтобы, даже преодолев защиту, создаваемую средствами операционной системы, хакер не смог нанести серьезного ущерба.

2. Атаки на операционную систему.

Разберем, что такое операционная система, и почему ее важно защитить от атак.

Операционная система — это набор программ, при помощи которых функционирует компьютер. Без этого набора программ он не будет работать, оставаясь ненужной кучей «железок».

В компьютере, ноутбуке, планшете, телефоне обязательно есть операционная система.

Это интерфейс (мост) между «железом» в компьютерном блоке или корпусе телефона (процессором, памятью, жестким диском) и пользователем.

Она создана для управления всей работой компьютера, эффективного использования его ресурсов. ОС — это «Большой Босс», который выполняет следующие функции:

1. управляет свободными ресурсами оперативной памяти, жестких дисков или карт памяти;
2. руководит загрузкой процессора;
3. распределяет потоки процессов для создания многозадачности (одновременное открытие нескольких программ);
4. устанавливает, обновляет и удаляет (при помощи пользователя или автоматически) программы и приложения.

Разберем какие основные атаки существуют.

Сканирование файловой системы. Данная атака является одной из наиболее тривиальных, но в то же время одной из наиболее опасных.

Суть атаки заключается в том, что злоумышленник просматривает файловую систему компьютера и пытается прочесть (или скопировать или удалить) все файлы подряд. Если он не получает доступ к какому-то файлу или каталогу, то продолжает сканирование. Если объем файловой системы достаточно велик, рано или поздно обнаруживается хотя бы одна ошибка администратора.

В результате злоумышленник получает доступ к информации, доступ к которой должен быть ему запрещен. Данная атака может осуществляться специальной программой, которая выполняет вышеописанные действия в автоматическом режиме.

Несмотря на кажущуюся примитивность описанной атаки, защититься от нее не так просто. Если политика безопасности допускает анонимный или гостевой вход в систему, администраторам остается только надеяться, что права доступа ко всем файлам системы, число которых может составлять сотни тысяч, определены абсолютно корректно.

Если же анонимный и гостевой вход в систему запрещен, поддержание адекватной политики регистрации потенциально опасных событий (аудита) позволяет организовать эффективную защиту от этой угрозы. Впрочем, следует отметить, что поддержание адекватной политики аудита требует от администраторов системы определенного искусства. Кроме того, если данная атака осуществляется злоумышленником от имени другого пользователя, аудит совершенно неэффективен.

Кража ключевой информации. В простейшем случае эта атака заключается в том, что злоумышленник подсматривает пароль, набираемый пользователем. То, что все современные операционные системы не высвечивают на экране вводимый пользователем пароль, несколько затрудняет эту задачу, но не делает ее невыполнимой.

Известно, что для того, чтобы восстановить набираемый пользователем пароль только по движениям рук на клавиатуре, достаточно всего несколько недель тренировок. Кроме того, достаточно часто встречается ситуация, когда пользователь ошибочно набирает пароль вместо своего имени, которое, в отличие от пароля, на экране высвечивается.

Некоторые программы входа в операционную систему удаленного сервера допускают ввод пароля из командной строки. К таким командам относится, например, команда nwloginоперационной системыUNIX, предназначенная для входа на серверNovellNetware. При использовании с ключом - р она позволяет вводить пароль в командной строке, например:

nwlogin server user –p password

При вводе пароля в командной строке пароль, естественно, отображается на экране и может быть прочитан злоумышленником. Известны случаи, когда пользователи создавали командные файлы, состоящие из команд, подобных вышеприведенной, для автоматического входа на удаленные серверы.

Если злоумышленник получает доступ к такому файлу, тем самым он получает доступ ко всем серверам, к которым имеет доступ данный пользователь, в пределах предоставленных ему полномочий.

Иногда пользователи, чтобы не забыть пароль, записывают его на бумагу, которую приклеивают к нижней части клавиатуры, к задней стенке системного блока или в какое-нибудь другое якобы укромное место.

В этом случае пароль рано или поздно становится добычей злоумышленника. Особенно часто такие ситуации имеют место в случаях, когда политика безопасности требует от пользователей использовать длинные, трудные для запоминания пароли.

Известны случаи, когда для кражи пароля злоумышленники скрытно фиксировали отпечатки пальцев пользователя на клавиатуре непосредственно после набора пароля.

Наконец, если ключевая информация хранится пользователем на внешнем носителе (ключевая дискета, TouchMemoryи т.д.), этот носитель может быть потерян и затем найден злоумышленником, а может быть просто украден.

Подбор пароля. Здесь мы просто упомянем о существовании данной угрозы. О ней уже упоминалось.

Сборка мусора. Во многих операционных системах информация, уничтоженная пользователем, не уничтожается физически, а помечается как уничтоженная. С помощью специальных программных средств эта ин- формация (так называемыймусор) может быть в дальнейшем восстановлена.

Суть данной атаки заключается в том, что злоумышленник восстанавливает эту информацию, просматривает ее и копирует интересующие его фрагменты.

По окончании просмотра и копирования вся эта информация вновь «уничтожается». В некоторых операционных системах, таких как Windows 95/98, злоумышленнику даже не приходится использовать специальные программные средства – ему достаточно просто просмотреть «мусорную корзину» компьютера.

Сборка мусора может осуществляться не только на дисках компьютера, но и в оперативной памяти. В этом случае специальная программа, запущенная злоумышленником, выделяет себе всю или почти всю доступную оперативную память, просматривает ее содержимое и копирует фрагменты, содержащие заранее определенные ключевые слова.

Если операционная система не предусматривает очистку памяти при выделении, злоумышленник может получить таким образом много интересной для него информации, например, содержание области памяти, только что освобожденной текстовым редактором, в котором редактировался конфиденциальный документ.

Превышение полномочий.

При реализации данной угрозы злоумышленник, используя ошибки в программном обеспечении операционной системы и/или политике безопасности, получает полномочия, превышающие те, которые ему предоставлены в соответствии с политикой безопасности.

Обычно это достигается путем запуска программы от имени другого пользователя или подмены динамически подгружаемой библиотеки.

Эта угроза представляет наибольшую опасность для ОС, в которых допускается временное повышение полномочий пользователя, например, в UNIX.

Атаки класса «отказ в обслуживании». Эти атаки нацелены на полный или частичный вывод ОС из строя. Существуют следующие атаки данного класса:

• захват ресурсов – программа захватывает все ресурсы компьютера, которые может получить. Например, программа присваивает себе наивысший приоритет и запускает бесконечный цикл;
• бомбардировка трудновыполнимыми запросами – программа в бесконечном цикле направляет ОС запросы, выполнение которых требует больших ресурсов компьютера;
• бомбардировка заведомо бессмысленными запросами – программа в бесконечном цикле направляет ОС заведомо бессмысленные (обычно случайно генерируемые) запросы. Рано или поздно в ОС происходит фатальная ошибка;
• использование известных ошибок в программном обеспечении или администрировании ОС.

Атака не только должна быть обнаружена, необходимо еще правильно и своевременно среагировать на нее.

Подведем итоги.

Операционную систему называют защищенной, если она предусматривает средства защиты от основных классов угроз.

Защищенная операционная система обязательно должна содержать средства разграничения доступа пользователей к своим ресурсам, а также средства проверки подлинности пользователя, начинающего работу с операционной системой.

Кроме того, защищенная операционная система должна содержать средства противодействия случайному или преднамеренному выводу операционной системы из строя. Если операционная система предусматривает защиту не от всех основных классов угроз, а только от некоторых, такую ОС называют частично защищенной.

Последние несколько лет на рынке информационной безопасности остро встал вопрос защиты от автоматизированных направленных атак, однако в общем понимании направленная атака в первое время представлялась как результат продолжительной и профессиональной работы организованной группой киберпреступников с целью получения дорогостоящих критичных данных.

Заключение

В настоящее время на фоне развития технологий, популяризации open-source форумов (напр. Github, Reddit) и Darknet, предоставляющих исходные коды вредоносного ПО и пошагово описывающих действия по его модификации (для невозможности его детектирования сигнатурным анализом) и заражению хостов, реализация кибератак значительно упростилась.

Для реализации успешной атаки, сопровождающейся пагубными последствиями для владельцев автоматизированных и информационных систем, достаточно неквалифицированного пользователя и энтузиазма в разборе предоставленного в сети Интернет / Darknet материала. 

Никакие самые надежные и разумные меры не смогут обеспечить стопроцентную защиту от компьютерных вирусов и троянских программ, но, выработав для себя ряд правил, вы существенно снизите вероятность вирусной атаки и степень возможного ущерба.

Одним из основных методов борьбы с вирусами является своевременная профилактика. Компьютерная профилактика состоит из небольшого количества правил, соблюдение которых значительно снижает вероятность заражения вирусом и потери каких-либо данных.

Библиография 

1. Защита компьютерной информации. Эффективные методы и средства. Шаньгин В.Ф, 2010 г
2. Архитектура распределенной системы обнаружения атак/ Свечников Л.А. // Компьютерные науки и информационные технологии: Труды 8-й Международной конференции (CSIT'2006), г. Карлсруэ, Германия, Уфа: Изд-во УГАТУ, 2006. - Том 2, С. 177-179 (на англ. языке).
3.  Моделирование и оптимизация системы обнаружения атак в локальных вычислительных сетях/ Свечников JI.A. // Интеллектуальные системы обработки информации и управления: Сборник статей 2-й региональной зимней школы-семинара аспирантов и молодых ученых, г. Уфа: Издательство "Технология", 2007 -Том 1, С. 175-178.
4. Профиль защиты систем обнаружения вторжений уровня сети четвертого класса защиты ИТ.СОВ.С4.ПЗ: Методический документ ФСТЭК России // Утвержден ФСТЭК России 3 февраля 2012 г.
5.  Галицкий А.В., Рябко С.Д., Шангин В.Ф. Защита информации в сети - анализ технологий и синтез решений М.:ДМК Пресс, 2009