Розділ 9

Вірусні та антивірусні програми інформаційних систем

9.1. Поняття про комп'ютерні віруси

Історія розвитку науки та техніки, як і історія людства, повна прикладів драматичного протиборства Добра і Зла. Не уникнули цього протистояння і процеси комп'ютеризації суспільства, що активно ідуть. В той час як одна частина ентузіастів обчислювальної техніки, що становить сили Добра, наполегливо працює над тим, щоб перетворити комп'ютер в надійного помічника, здатного змагатись з людиною в мистецтві вирішувати найбільш високоінтелектуальні задачі, інша (представників цієї частини комп'ютерних фанатів назвали хаккерами) займалась розробкою програм, що дозволять обкрадати з допомогою комп'ютерів банки, руйнувати бази даних, виводити з ладу інформаційні системи, що управляються комп'ютерами і т.п. Протягом останнього часу одним з модних захоплень хаккерів стала розробка комп'ютерних вірусів, здатних, передаючись від одного комп'ютера ІС до іншого, руйнувати дані, що зберігаються в їх пам'яті і навіть виводити з ладу окремі технічні прилади.

Вважають, що ідею створення комп'ютерних вірусів підкинув письменник-фантаст Т. Дж. Райн, що в одній з своїх книг, яка опублікувалася в США в 1977 р., описав епідемію, що за короткий час вразила більше семи тисяч комп'ютерів ІС. Причиною епідемії став комп'ютерний вірус, що, передаючись від одного комп'ютера до іншого в ІС, впроваджувався в операційні системи та виводив комп'ютери з-під контролю людини.

В 70-х роках, коли вийшла книга Т. Дж. Райна, описані в ній події здавались безневинною фантастикою і мало хто міг припустити, що вже в кінці 80-х років проблема комп'ютерних вірусів стане суворою реальністю, яка хоча і не загрожує загибеллю людства в єдиноборстві з розлюченими комп'ютерами, але вже приносить серйозні соціальні та матеріальні втрати. За даними обстеження, проведеного однією з американських асоціацій по боротьбі з комп'ютерними вірусами, за 7 місяців 1988 року, комп'ютери, що належать фірмам-членам асоціації, наштовхувались на 300 масованих вірусних атак, які вразили більш ніж 60 тис. інформаційних комп'ютерних систем, відновлення яких вимагало значних матеріальних і часових витрат. В кінці 1989 р. в пресі промайнуло повідомлення про відкриття в Японії нового, надзвичайно підступного і руйнівного вірусу (його назвали “черв'яком”), який за короткий час вразив велику кількість комп'ютерів, під'єднаних до мереж передачі даних. “Переповзаючи” від комп'ютера до комп'ютера по їх з'єднаним комунікаціям, “черв'як” здатний “з’їдати” вміст пам'яті, не залишаючи жодних надій на відновлення даних. Збитки, що наносяться комп'ютерними вірусами, швидко зростають, а їхня небезпека для таких життєво важливих інформаційних систем, як оборона, транспорт, зв'язок, поставила проблему комп'ютерних вірусів в низку тих, що звичайно знаходяться під ретельною увагою органів державної безпеки.

Що ж таке комп'ютерний вірус? Звичайно це невелика програма, написана в машинних кодах комп’ютера, здатна впроваджуватись в інші програми, що зберігаються на дисках запам'ятовуючих приладів комп'ютера. Коли заражена вірусом програма викликається для виконання, на одному з етапів її роботи вірус перехоплює управління та реалізує функції, закладені в нього розробником. Звичайно таких функцій дві: зараження інших програм і дисків та зараження незаражених систем.

Стадія зараження є пасивною фазою життя вірусу, коли він зовні практично не виявляє себе, намагаючись залишатися непомітним для користувачів. Одержуючи управління на цій стадії, вірус відшукує на інших дисках комп'ютера системні або прикладні програми і впроваджується в них. Тривалість пасивної фази може бути різною: від декількох хвилин до декількох років.

Стадію активних дій вірусу по ураженню заражених систем називають атакою вірусу. Вірусна атака може починатися водночас на всіх заражених комп'ютерах або в різний час. В першому випадку “спусковим гачком” є дотримання деякої загальної для всіх комп'ютерів умови. Наприклад, один з розповсюджених вірусів “ISRAELI VIRUS” запрограмований так, що переходить в атаку в п'ятницю, якщо це 13-е число (будь-якого року, будь-якого місяця).

В інших випадках вірусна атака може бути викликана подією, що настає в свій час для кожного зараженого комп'ютера або конкретної вірусної програми. Так, один з надто підступних вірусів “LEHIGH” активізується після кожних чотирьох циклів зараження інших програм. Початок активним діям вірусу може покласти також досягнення певної кількості викликів зараженої програми на виконання і т.п.

Дії вірусів в активній фазі можуть істотно відрізнятися за ступенем тягаря їх наслідків: від порівняно безневинних ефектів на екрані дисплею (зірковий дощ, “чебурашки”, що бігають по екрану, повідомлення типу “без паніки - ідемо на дно”) до надто серйозних неприємностей, зв'язаних з частковою або повною втратою програм і даних, що зберігаються на дисках комп’ютерів ІС.

9.2. Класифікація комп'ютерних вірусів інформаційних систем

В залежності від механізмів впровадження і впливу на систему віруси поділяють на три основні групи.

До першої групи відносяться віруси, що впроваджуються в програму початкового завантаження ОС, яка зберігається в стартовому секторі системного диску. При запуску ОС віруси цієї групи перехоплюють управління і контролюють систему під час всього сеансу роботи. Виконуючи функцію розмноження, вони звичайно записуються в резервний нульовий сектор на всі дискети, що вставляються в комп'ютер, і якщо в подальшому одна з цих дискет використовується в якості системної на іншому комп'ютері, то він також заражається вірусом.

До цієї групи відноситься один з найбільш розповсюджених вірусів (біля 15\% загальної кількості виявлених заражень), розроблений в Пакистані в 1986 році, що отримав назву, “PAKISTANI BRAIN”. Цей вірус повністю замінює вміст стартового сектора і використовує 6 додаткових секторів, що відзначає в FAT диску як дефектні. Заражені дискети одержують нове ім'я COPYRIGHT @ BRAIN. Наслідками зараження цим вірусом можуть бути: уповільнена завантаження ОС, часті збої в системі, часткова втрата даних.

Біля 5\% заражень, що виявляються, падає на “ALAMEDA VIRUS”, який також відноситься до цієї групи. Цей вірус заміщає вміст стартового сектора, переписуючи оригінал, що зберігався в ньому, в перший вільний сектор на диску. Механізм і наслідки зараження цим вірусом ті ж, що і в випадку “PAKISTANI BRAIN”.

Для очистки заражених дисків від вірусів цієї групи звичайно буває достатнім, користуючись командою SYS, ще раз скопіювати на заражені диски системні модулі MS DOS.

До другої групи відносяться віруси, що впроваджуються в модулі ОС і, зокрема, в програми-драйвери приладів вводу-виводу. Наслідками зараження вірусами цієї групи можуть бути часті збої в роботі системи, невірне виконання команд, в тому числі команд вводу-виводу даних, часткова або повна втрата даних.

До вірусів цієї групи відносяться “LEHIGH” (6-7\% в загальній кількості заражень, що виявляються), який впроваджується в файл COMMAND. COM і збільшує його розмір приблизно на 20 байт, а також змінює дату і час створення цього файлу. Ці признаки можуть бути використані для відкриття вірусу - стежте за розміром файлу COMMAND.COM. Вірус активізується після 4 циклів зараження, наслідки важкі - втрата усіх даних системи. Короткий період вегетації ускладнює вчасне розпізнавання.

Як і в першому випадку, для вилучення вірусів 2 групи звичайно буває достатньо шляхом команди SYS ще раз записати на системний диск файл COMMAND. COM.

Віруси третьої групи можуть впровадитися в будь-яку прикладну програму (звичайно в її кінець або на вільне місце всередині). При виклику зараженої програми вірус, отримавши управління, переглядає диски комп'ютера, відшукує на них файли типу EXE, COM, BAT виконувані модулі - та впроваджується в них. На цьому етапі вірус може себе виявити високою частотою звернення до дискових приладів, не відповідним функціям викликаної для виконання програми.

До цієї групи відноситься один з найбільш розповсюджених вірусів “ISRAELI VIRUS” (біля 10\% виявлень). “ISRAELI VIRUS” поражає програми типів CОM і EXE. Укорінюючись в них, вірус збільшує їхній розмір на 1813 байт (інколи, посилаючись на віруси цієї групи, їм дають відповідні назви: вірус-1813, вірус-1704 і т.д.). В первісному варіанті вірус не відрізняв заражену програму від незараженої, тому кількість приросту обсягу заражених програм звичайно відповідала числу їхніх викликів. Зі збільшенням обсягу виконання зараженої програми уповільнювалося і в кінці кінців ставало неможливим із-за занадто великого обсягу. Ці властивості заражених програм дозволяли достатньо легко встановлювати факт і приблизно дату зараження. Сучасні версії вірусу не мають цього недоліку і тому більш небезпечні. Атака вірусу починається 13-го числа, що приходиться на п'ятницю. Зрозуміло, що невтомні хаккери можуть легко змінити цю умову і породити безліч інших модифікацій вірусу. Наслідками вірусної атаки є часткова або повна втрата програм і даних на дисках комп'ютерів інформаційної системи.

Гарантована очистка системи від вірусів 3 групи звичайно припускає попереднє копіювання файлів даних з дисків з метою зберегти їх, переформатування дисків і наступне відновлення на них програм, що зберігалися та даних з дисків-оригіналів і дисків-копій.

9.3. Засоби захисту інформаційних систем від вірусів

У зв'язку з можливістю зараження комп'ютерним вірусом ІС перед користувачами персональних комп'ютерів постають три проблеми:

1. Як відвернути зараження;

2. Як виявити вірус;

3. Як позбавитися від вірусу.

Відвернути зараження вірусом з високим ступенем ефективності можуть допомогти як елементарне дотримання правив “гігієни”, так і застосування деяких спеціальних засобів захисту, аналогами яких в традиційній медицині є марлеві пов'язки, противірусні щеплення і т.п.

Не вимагається багатої фантазії, щоб трансформувати традиційні правила медичної профілактики в правил “гігієни” для користувачів персональних комп'ютерів ІС. Перерахуємо основні з них.

1. Утримуйтесь від випадкових контактів і зв'язків, що виражаються в використанні чужих комп'ютерів і дискет, стерильність яких може ставитися під сумнів.

2. Зберігайте програми та дані на різних дискетах або в різних підкаталогах жорсткого диску. Дискети з програмами вставляйте в незнайомий комп'ютер, заздалегідь заклеївши стрічкою фольги прорізь маркера захисту даних або зробивши блокування.

3. Обмежуйте доступ до файлів програм, встановлюючи для них завжди, коли це можливо, статус “тільки для читання”.

4. Ніколи не копіюйте програми для власних потреб із випадкових дискет. Переписуйте програмне забезпечення з дисків-оригіналів, захищених від запису.

5. Не завантажуйте ОС в комп'ютер з випадкових дискет. Комп'ютери, що мають жорсткий диск, повинні завантажуватися з цього диску.

6. Присвоюйте імена всім дискам та звикайте контролювати ці імена при перегляді каталогу на екрані дисплею.

7. При роботі в мережі при можливості не викликайте програм з пам'яті інших комп'ютерів інформаційних систем.

8. Якщо необхідно попрацювати на чужому комп'ютері (наприклад, виконати високоякісний, швидкий, кольоровий друк), заздалегідь скопіюйте необхідні для цього програми і дані на спеціально виділені для таких випадків дискети.

Поряд з виконанням правил “гігієни” - це головне! - можна з достатньо високим ступенем ефективності попередити зараження, використовуючи спеціально розроблені для цієї мети програмні засоби - антивіруси. Виявити вірус по зовнішнім його признакам можна, використовуючи наступні основні признаки:

1. Операційна система завантажується довше, ніж звичайно.

2. Кількість звернень до дисків не відповідає функціям програми, що виконується або відмічаються звернення до дисків (загораються індикаторні лампи), коли їх бути не повинно.

3. Загадкові зникнення з диску програм і даних.

4. Неочікуване зменшення вільного обсягу диску або зміна його імені.

5. Уповільнене виконання програм.

6. Збільшення (зміна) обсягу файлів програм.

7. Поява на екрані неочікуваних звукових і графічних ефектів, незрозумілих повідомлень.

8. Зростання числа системних збоїв і випадків невірного виконання програм або команд вводу-виводу даних.

Якщо одна або декілька з перерахованих ознак має місце, та уточнити наявність зараження можна, використовуючи спеціально призначені для цього програмні засоби. Деякі з таких програм здатні встановити лише факт наявності вірусу або дати підставу підозрювати його присутність на диску, інші можуть точно встановити тип вірусу. Звичайно такі програми не тільки виявляють вірус, але і вилучають його з диску або виконують противірусне щеплення.

Методика використання антивірусних програм.

Перед використанням антивірусних програм вкрай бажано завантажитися з резервної копії DOS, що розміщена на заздалегідь чистій від вірусів захищеній від запису дискеті. Це необхідно для того, щоб застрахувати від присутності резидентного вірусу, бо він може блокувати роботу антивірусу або використати його роботу для інфікування файлів, що перевіряються. Перевантаження комп'ютера повинна бути холодним, оскільки деякі віруси “виживають” при теплому перевантаженні.

Бажано, щоб антивірусні програми, що використовуються для перевірки, були самих останніх версій. Бажано також, щоб хоча б одна з них була вітчизняного виробництва, оскільки процеси міграції вірусів в інші країни і міграція антивірусних програм займає досить великий час. Тому найбільш оперативно на появу нового вірусу реагують тільки вітчизняні антивірусні програми.

Якщо виявлені заражені файли, то слід: надрукувати їх список; якщо для цих файлів немає BACKUP-копії, те зберегти їх на дискеті; якщо відновлення файлів відбулося не цілком коректно, то їх слід знищити і переписати з BACKUP-копій; якщо ж копій немає, то відновити заражені файли з дискет і намагатися дезактивувати їх за допомогою іншого антивірусу.

Слід зазначити, що якість відновлення файлів багатьма антивірусними програмами залишає бажати кращого. Багато популярних антивірусів частенько необоротно псують файли замість їхнього лікування. Тому, якщо втрата файлів небажана, те виконувати перераховані вище пункти слід в повному обсязі.

Необхідно звертати особливу увагу на чистоту модулів, стислих утилітами типу LZEXE, PKLETE або DIET, файлів в архівах (ZIP, ARC, ICE, ARJ і т.д.) і даних в файлах, які розпаковуються самі, створених утилітами типу ZIP або EXE. Якщо випадково упакувати файл, заражений вірусом, то відкриття і вилучення такого вірусу без розпаковки файлу практично неможливо. В даному випадку типовою буде ситуація, при якій всі антивірусні програми повідомлять про те, що від вірусів очищені всі диски, але через деякий час вірус з'явиться знов.

Штами вірусу можуть проникнути і в BACKUP-копії програмного забезпечення при поновленні цих копій. Причому архіви та BACKUP-копії є основними постачальниками давно відомих вірусів. Вірус може роками “сидіти” в дистрибутивній копії якого-небудь програмного продукту і раптово з'явитися при установці програм на новому комп'ютері інформаційної системи.

Ніхто не може гарантувати повного знищення всіх копій комп'ютерного вірусу, оскільки файловий вірус може вразити не тільки файли, що виконуються, але і оверлайні модулі з розширенням імені, що відрізняються від COM або EXE. Завантажувальний вірус може залишитися на будь-якій дискеті і зненацька виявитися при випадковій спробі перевантажити з неї. Тому доцільно деякий час після вилучення вірусу постійно користуватися резидентним антивірусним монітором типу утиліти D. COM, що входить в комплекс <<Доктор >> Касперський". За допомогою резидентного монітору можна перехопити момент появи переважної більшості вірусів. Якщо вірус не резидентний, то монітор перехоплює звернення до файлів типу COM або EXE. Якщо вірус резидентний, то відслідковують зміни в блоках пам'яті і в таблиці векторів переривань. При цьому слід з'ясувати, як резидентний вірус виглядить на карті оперативної пам'яті, і після дезактивації вірусу переглянути карту пам'яті на предмет виявлення цього вірусу.

Загальні рекомендації.

Панацеї від комп'ютерних вірусів для ІС не існує і існувати не може. Однак дотримання наступних правил принаймні знизить ймовірність важких наслідків.

1. При лікуванні своїх дисків від вірусів намагайтеся використати заздалегідь чисту операційну систему, завантажену з дискети. Захищайте дискети від запису, якщо є хоча б мала ймовірність зараження.

2. Уникайте випадкових зв'язків. Намагайтеся користуватися тільки законними шляхами отримання програм.

3. Не збирайте колекції антивірусних програм невідомого призначення. По-перше, з ними можна отримати новий вірус, а, по-друге, як і в медицині, ілюзії небезпечні несвоєчасним початком дійсного лікування.

4. В момент запуску антивірусної програми AIDSTEST в пам'яті не повинно бути резидентних антивірусних програм типу FluShot, що блокують запис в програмні файли.

5. Оскільки AIDSTEST виявляє тільки вже відомі віруси, корисно мати і програму, що виявляє появу на диску нових вірусів. З відомих в наш час дискових ревізорів найбільш ефективним є, скоріш з все, ADINF, що за декілька секунд переглядає весь диск і повідомляє про всі підозрілі випадки. Розповсюджує ADINF та же організація, що і AIDSTEST.

Основні можливості.

Антивірусна програма AIDSTEST розроблена в Москві та призначена в основному для відкриття і виправлення програм, заражених певними типами вірусів, які відомі в наш час автору цієї програми. В процесі виправлення програмні файли, які неможливо виправити, стираються. Список постійно поповнюється по мірі появи в Москві нових вірусів. В AIDSTEST повідомленнях, що видаються, види вірусів довгий час позначувались літерами латинського алфавіту (інколи зі штрихами). Пропуски в алфавіті викликані тим, що низка вірусів була об'єднана в одну групу з новою позначкою. В останній час ця система позначок переглядається. Багато вірусів, приписуючись до модуля, спочатку округляють його довжину, в зв'язку з чим довжини, що наводяться в списку вірусів, можуть відрізнятися від величини зміни довжини файлу. Для зручності ідентифікації в протокол включена номінальна довжина вірусу. Крім того, при лікуванні видається різниця довжин до і після лікування.

Оскільки в останній час широке розповсюдження отримала програма SCAN, призначена для відкриття самої великої кількості вірусів, скрізь, де це можливо, приводиться назва вірусу в її класифікації.

Програму AIDSTEST можна використати і для відкриття вірусів нових типів. Для цього її слідує скопіювати на основний диск в добре доступну директорію і якнайчастіше запускати без параметрів (зокрема, в процедурі завантаження - AUTOEXEC. BAT), щоб вона виявилася однією з перших заражених і відразу повідомила про це. На жаль, є клас вірусів, зараження якими виявити майже неможливо, якщо його заздалегідь не знешкодити в пам'яті. Щоправда, розробка такого вірусу вимагає достатньо великого розуму, що звичайно поєднується з достатньою порядністю, щоб не займатися настільки мерзотною справою, тому є надія, що нові такі віруси будуть з'являтися не занадто часто.

9.4. Проблеми безпеки інформаційних систем та технологій

Стрімке входження України в світовий інформаційний простір примусило діловий світ замислитись про таку серйозну проблему, як захист інформації. Раптове зростання Internet почало піддавати інформаційну безпеку будь-якої комерційної організації найсильнішому тиску. Сьогодні представники багатьох комп'ютерних фірм заявляють, що не залишилося жодній компанії (що має адресу в глобальній мережі), чию систему хоч би раз не намагалися зламати. Як приклад часто приводять дані по Пентагону, систему якого за 1995 рік зламували не менш як 250 тис. разів.

Забезпечення власної безпеки - задача першочергової важливості для будь-якої системи, незалежно від її складності і призначення, будь-то біологічний організм чи система обробки інформації.

Життєдіяльність сучасного суспільства немислима без широкого застосування інформаційних технологій. Комп'ютери обслуговують банківські системи, контролюють роботу атомних реакторів, розподіляють енергію, стежать за розкладом поїздів, керують літаками та космічними кораблями. Комп'ютерні системи і телекомунікації визначають надійність та потужність систем оборони і безпеки країни. Комп'ютери забезпечують зберігання інформації, її обробку та надання споживачам, реалізовуючи таким чином інформаційні технології.

Однак, саме найвища міра автоматизації, до якої прагне сучасне суспільство, ставить його в залежність від міри безпеки інформаційних технологій, що використовуються ним, від яких залежить благополуччя і навіть життя великої кількості людей. Технічний прогрес має одну неприємну особливість: в кожному його досягненні криється щось, що обмежує його розвиток і на якомусь етапі обертає його досягнення не у благо, а у шкоду людству.

Ефект, що досягається за рахунок застосування обчислювальної техніки, зростає при збільшенні масштабів обробки інформації, тобто концентрації по можливості великих об'ємів даних і процесів їх обробки в рамках однієї технічної системи, включаючи обчислювальні мережі, що територіально розсердилися, та автоматизовані системи управління.

Масштаби і сфери застосування цієї техніки стали такими, що нарівні з проблемами надійності та стійкості її функціонування, все гостріше постає проблема забезпечення безпеки циркулюючої в ній інформації. Безпека інформації - це здатність системи її обробки забезпечити в заданий проміжок часу можливість виконання заданих вимог по величині ймовірності настання подій, що виражаються у витоку, модифікації або втраті даних, що являє собою ту або іншу цінність для їх власника. При цьому вважається, що причиною цих подій можуть бути випадкові впливи або впливи внаслідок навмисного несанкціонованого доступу порушника.

Витік інформації полягає в розкритті будь-якої таємниці: державної, військової, службової, комерційної або особистої. Захисту повинна підлягати не тільки таємна інформація. Модифікація несекретних даних може привести до витоку таємних або до не виявленого одержувачем прийому помилкових даних. Руйнування або зникнення накопичених великими зусиллями даних може привести до непоправної їх втрати. Фахівцями розглядаються і інші ситуації порушення безпеки інформації, але всі вони по своїй суті можуть бути зведені до перерахованих вище подій. У залежності від сфери і масштабів застосування тієї або іншої системи обробки даних, втрата або витік інформації може привести до різноманітних наслідків: від невинних жартів до величезних втрат економічного і політичного характеру

Одним з аргументів консервативних опонентів популяризації інформаційних технологій є проблема безпеки цих технологій, або, якщо точніше, їх небезпека. Дійсно, широке впровадження популярних дешевих комп'ютерних систем масового користування робить їх надзвичайно вразливими по відношенню до деструктивного впливу.

Безліч прикладів, які підтверджують те, що це явище є надзвичайно поширеним, можна знайти на сторінках численних видань і ще в більшій кількості на сторінках Internet. Приведемо деякі факти, що свідчать про актуальність проблеми безпеки інформаційних технологій. Кожні двадцять секунд в Сполучених Штатах відбувається злочин з використанням програмних засобів. У більш ніж 80\% комп'ютерних злочинів, що розслідувало ФБР, “зломщики” проникають в систему, що атакується через глобальну мережу Internet.. Останні оцінки обчислюють втрати від розкрадання або пошкодження комп'ютерних даних в 100 млн. доларів на рік, але точні дані поки не піддаються обліку. У багатьох випадках організації не знають про те, що вторгнення мало місце, інформація крадеться непомітно, і викрадачі геніально замітають свої сліди.

Особливо широкий розмах отримали: злочини в автоматизованих системах, обслуговуючих банківські та торгові структури. За зарубіжними даними, втрати в банках внаслідок комп'ютерних злочинів щорічно складають від 170 млн. до 41 млрд дол.

У зв'язку з високою інформатизацією суспільства за кордоном проблема безпеки інформації є надто актуальною. Цій проблемі присвячені багато тисяч робіт, в тому числі сотні робіт монографічного характеру. Різні аспекти проблеми є предметом активного обговорення на форумах зарубіжних фахівців, семінарах і конференціях. У сучасній практиці в нашій країні при розробці даних питань в основному використовуються зарубіжний досвід і роботи вітчизняних фахівців з окремих методів та засобів захисту інформації в автоматизованих системах її зберігання, обробки і передачі. Ці обставини, однак, не означають, що проблема безпеки інформації в нашій країні не так актуальна, хоч і потрібно визнати, що рівень автоматизації і інформатизації нашого суспільства поки ще відстає від міжнародного рівня. Вихід на цей рівень неминучий, і рух в цьому напрямі вже відбувається. Разом з тим, потрібно також чекати і появи аналогічних спроб несанкціонованого доступу до інформації, що обробляється, які можуть носити лавиноподібний характер і яким необхідно протипоставити відповідні перешкоди. “Перші ластівки” вже з'явилися у нашого сусіда - Росії: історія з Володимиром Левіним, який в 1994 р. з комп'ютера, встановленого в Петербурзі, зумів проникнути в комп'ютерну систему Сітібанка і незаконно перевести 2,8 млн дол. на рахунки своїх спільників в США, Швейцарії, Нідерландах та Ізраїлі; випадок в філії Інкомбанка, служба безпеки якого арештувала бухгалтера цієї філії, що переводила незаконно долари на рахунки своїх спільників. За повідомленням МВС Росії, в 1993 р. була зроблена спроба розкрадання більше ніж 68 млрд рублів шляхом маніпуляцій з даними ЦБ РФ.

Розв'язання цієї проблеми, незважаючи на великий об'єм проведених досліджень, ускладнюється ще і тим, що до цього часу в Україні і за кордоном відсутня єдина та загальноприйнята теорія і концепція забезпечення безпеки інформації в автоматизованих системах її обробки.

У теорії це виражається у відмінності основних термінів і визначень, класифікації об'єктів обробки та захистів інформації, методів визначення можливих каналів несанкціонованого доступу до інформації, методів розрахунку міцності засобів її захисту, принципів побудови системи захисту, відсутності гарантованих кількісних показників рівня міцності захисту як єдиного механізму в автоматизованих системах, що створюються. На практиці - в досить успішних діях порушників і вельми відчутних втратах власників систем.

Не зупиняючись на соціальних, правових і економічних аспектах проблеми, систематизуємо наукові та технічні передумови ситуації, що склалася із забезпеченням безпеки інформаційних технологій.

1. Сучасні комп'ютери за останні роки стали набувати гігантську обчислювальну потужність, але (що на перший погляд парадоксально!) стали набагато простіші в експлуатації. Це означає, що користуватися ними стало набагато легше і що все більше нових користувачів отримує доступ до комп'ютерів. Середня кваліфікація користувачів знижується, що в значній мірі полегшує задачу зловмисникам, оскільки внаслідок “персоналізації” засобів обчислювальної техніки більшість користувачів мають особисті робочі станції, де самі здійснюють їх адміністрування. Більшість з них не в змозі постійнопідтримувати безпеку своїх систем на високому рівні, оскільки це вимагає відповідних знань, навичок, а також часу і коштів. Повсюдне поширення мережевих технологій об'єднало окремі машини в локальні мережі, що спільно використовують загальні ресурси, а застосування технології “клієнт-сервер” перетворило такі мережі в розподілені обчислювальні середовища. Безпека мережі залежить від безпеки всіх її комп'ютерів, і зловмиснику досить порушити роботу одного з них, щоб скомпрометувати всю мережу.

Сучасні телекомунікаційний технології об'єднали локальні мережі в глобальні. Це привело до появи такого унікального явища, як Internet. Саме розвиток Internet викликав сплеск інтересу до проблеми безпеки і примусив частково переглянути її основні положення. Справа в тому, що Internet (крім усього іншого) забезпечує широкі можливості для здійснення порушень безпеки систем обробки інформації всього світу. Якщо комп'ютер, який є об'єктом атаки, підключений до Internet, то для зловмисника не має великого значення, де він знаходиться в сусідній кімнаті або на іншому континенті.

2. Прогрес в області апаратних засобів поєднується з ще більш бурхливим розвитком програмного забезпечення. Як показує практика, більшість поширених сучасних програмних засобів, (насамперед операційних систем), хоч їх розробники і здійснюють певні зусилля в цьому напрямі, не відповідає навіть мінімальним вимогам безпеки. Головним чином, це виражається в наявності недоліків в організації засобів, що відповідають за безпеку, та різних “недокументованих” можливостей. Після виявлення, багато які недоліки ліквідуються за допомогою оновлення версій або додаткових засобів, однак та постійність, з якою виявляються всі нові і нові недоліки, не може не викликати побоювань. Це означає, що більшість систем надають зловмиснику широкі можливості для здійснення порушень.

3. На наших очах практично зникає відмінність між даними і програмами, що виконуються за рахунок появи і широкого поширення віртуальних машин та інтерпретаторів. Тепер будь-який розвинений додаток текстового процесора (MSWord, WordBasic) до браузера Internet (Netscape Navigator, Java) не просто обробляє дані, а інтерпретує інтегровані в них інструкції спеціальної мови програмування, тобто по суті справи є окремою машиною. Це збільшує можливості зловмисників по створенню засобів проникнення в чужі системи і утруднює захист, так як вимагає здійснювати контроль взаємодій ще на одному рівні - рівні віртуальної машини або інтерпретатора.

4. Має місце істотний розрив між теоретичними моделями безпеки, що оперують абстрактними поняттями типу об'єкт, суб'єкт і т. п., і сучасними інформаційними технологіями. Це приводить до невідповідності між моделями безпеки і їх втіленням в засобах обробки інформації. Крім того, багато які засоби захисту, наприклад, засоби боротьби з комп'ютерними вірусами і системи firewall взагалі не мають системної наукової бази. Такий стан є наслідком відсутності загальної теорії захисту інформації, комплексних моделей безпеки обробки інформації, описуючих механізми дій зловмисників в реальних системах, а також відсутністю систем, що дозволяють ефективно перевірити адекватність тих або інших рішень в області безпеки. Слідством цього є те, що практично всі системи захисту основані на аналізі результатів атаки, що успішно відбулася, що зумовлює їх відставання від поточної ситуації. Як приклад, можна привести поширену практику закриття “пробілів, що раптово” були виявлені в системі захисту. Крім усього перерахованого, в цій області (особливо в нашій країні) відсутня навіть загальноприйнята термінологія. Теорія і практика часто діють в різних площинах.

5. У сучасних умовах надзвичайно важливим є обгрунтування вимог безпеки, створення нормативної бази, не ускладнюючої завдання розробників, а, навпаки, встановлюючої обов'язковий рівень безпеки. Існує низка міжнародних стандартів, що намагаються вирішити цю проблему, однак аж до останнього часу вони не могли претендувати на те, щоб стати керівництвом до дії, або хоч би закласти підгрунтя безпечних інформаційних технологій майбутнього. В умовах поголовної інформатизації і комп'ютеризації найважливіших сфер економіки та державного апарату, нашій країні необхідні нові рішення в цій галузі.

Як в обставинах, що склалися, забезпечити безпеку відповідно до сучасних вимог?

Відповідь на дане питання не є очевидною внаслідок наступних чинників:

на вітчизняному ринку відсутні захищені (офіційно сертифіковані) системи обробки інформації, такі, як операційні системи, СУБД, інформаційні системи, системи обробки документів, системи передачі інформації і т. п;

всі широко поширені в нашій країні операційні системи (MS DOS, MS Windows, Windows 95/98, Novel Netware) і протоколи передачі інформації (ІРХ/SРХ, ТСР/ІР) з точки зору безпеки не витримують ніякої критики;

окремі засоби захисту, що пропонуються на вітчизняному ринку, не в стані вирішити проблему в цілому (а іншого рішення в принципі бути не може).