Средства антивирусной защиты (1/1)

Здравствуйте!

В данной лекции мы поговорим об антивирусных средствах. Построим их классификацию и разберем, что представляют собой антивирусные средства, относящиеся к каждой из выделенных групп данной классификации. Затем поговорим о жизненном цикле разрушающих программных воздействий (то есть вирусов), и о том, как борются с этими вирусами на каждом из этапов данного цикла. Посмотрим, какие проблемы при этом появляются, и предложим пути их решения.

В настоящее время существует достаточно много различных классификаций антивирусных средств. Эти классификации, как правило, выполняются по разным основаниям. И зачастую во внимание не принимается динамический этап существования информационных технологий. Мы же построим классификацию этих средств, исходя из того факта, что имеют место быть две формы существования информации – статическая (данные) и динамическая (процессы). И будем классифицировать антивирусные средства по признаку изменяемости во времени объекта анализа. В соответствии с этим антивирусные средства можно разделить на две большие группы – анализирующие данные и анализирующие процессы. Рассмотрим каждую из этих групп.

Первая группа – Анализ данных. К этому классу антивирусных средств относятся «ревизоры» и «полифаги».

«Ревизоры» анализируют последствия от деятельности компьютерных вирусов и других вредоносных программ. Последствия проявляются в изменении данных, которые изменяться не должны. Именно факт изменения данных является признаком деятельности вредоносных программ с точки зрения «ревизора». Другими словами, «ревизоры» контролируют целостность данных, и по факту нарушения целостности принимают решение о наличии в компьютерной среде вредоносных программ.

«Полифаги» действуют по-другому. Они на основе анализа данных выделяют фрагменты вредоносного кода в файлах пользователя (например, по его сигнатуре), и на этой основе делают вывод о наличии вредоносных программ. Удаление или «лечение» пораженных вирусом данных позволяет предупредить (или компенсировать) негативные последствия исполнения вредоносных программ.

Схема работы и «ревизоров», и «полифагов» практически одинакова – сравнить данные (или их контрольную сумму) с одним или несколькими эталонными образцами. Данные сравниваются с данными.

Таким образом, для того, чтобы найти вирус в своем компьютере, нужно, чтобы он уже «сработал», чтобы появились последствия его деятельности. Вряд ли такую защиту можно назвать надежной.

Несколько иначе работают антивирусные средства, основанные на анализе процессов. К этому классу антивирусных средств относятся «эвристические анализаторы» и «поведенческие блокираторы».

«Эвристические анализаторы» также, как и ранее, анализируют данные. Принципиальное отличие состоит в том, что анализ проводится в предположении, что анализируемый код – это не данные, а команды. Напомним, что в компьютерах с фон-Неймановской архитектурой данные и команды неразличимы.

«Эвристический анализатор» выделяет последовательность операций, каждой из них присваивает некоторую оценку «опасности», и по совокупности «опасности» принимает решение о том, является ли данная последовательность операций частью вредоносного кода. Сам код при этом не выполняется.

Другим видом антивирусных средств, основанных на анализе процессов, являются «поведенческие блокираторы». В этом случае подозрительный код выполняется поэтапно до тех пор, пока совокупность инициируемых кодом действий не будет оценена как «опасное» (либо «безопасное») поведение. Код при этом выполняется частично – ведь завершение вредоносного кода можно будет обнаружить более простыми методами анализа данных.

Подведем итог. Анализу можно подвергать данные и процессы. Данные в нашем случае можно характеризовать с помощью понятия «целостность». Факт нарушения целостности устанавливают «ревизоры». Конкретный внедренный код, содержание модификации, выявляют «полифаги». Других вариантов нет, и, следовательно, развитие данного направления будет идти по пути совершенствования уже используемых механизмов.

Процессы, развивающиеся во времени, следует и анализировать «во времени», то есть в процессе исполнения. В типичных случаях, можно анализировать  без исполнения (как делают «эвристические анализаторы»), а можно на основе поведения, выявляемого при частичном исполнении кода (как делают «поведенческие блокираторы»). Этим и исчерпываются применяемые сегодня методы. Теперь очевидно, что остается не реализован еще один (и самый достоверный) метод – на основе полного исполнения кода.

Конечно, исполнившись, вирус разрушит защищаемый объект – но это говорит всего лишь о том, что вирус нужно исполнять в изолированной среде, которая обеспечивает безопасность срабатывания вредоносной программы.

Об этом мы еще поговорим в данной лекции чуть позже, сначала давайте рассмотрим жизненный цикл вирусов, потом проиллюстрируем известные методы защиты информации, и прокомментируем неудачи в антивирусной борьбе.

Итак, жизненный цикл разрушающих программных воздействий состоит из следующих этапов, приведенных на слайде.

Противодействие на первых двух этапах (заказ и разработка РПВ) – это зоны деятельности преимущественно государства. Заказчик РПВ – это заказчик преступления, разработчик РПВ – исполнитель. Так и надо к этому относиться. Государство должно бороться с такими разработчиками, как преступниками.

Следующий этап– Транспортировка РПВ на компьютеры пользователей. В основном доставка вируса на компьютер пользователя осуществляется при помощи его маскировки. Вирусы маскируют под какие-либо «полезные утилиты», «любовные письма», фотографий звезд и так далее. Для борьбы с полученным таким образом вирусом рекомендуется использовать антивирусные программы. И не забывать при этом их своевременно обновлять. Только в этом случае можно выявить вирусы, которые уже известны антивирусной компании.

Давайте обратим внимание на этот момент. Итак, при применении постоянно обновляемых антивирусных программ можно:

• выявить не все вирусы, а только известные,
• и только посредством антивирусного пакета с актуальными базами сигнатур.

Первый факт позволяет утверждать, что если антивирусные программы и могут защитить ваш компьютер от существующих вирусов, то защитить его от нового вируса они не могут.

Не менее интересен и второй отмеченный факт. Из него точно следует, что время от времени Вы вынуждены получать из сети некоторые данные, о которых принято думать, что это обновления антивирусных баз. При этом мы не знаем от официального ли разработчика антивируса мы получили это обновление и вообще является ли полученное обновлением антивирусных баз.

Для того чтобы установить, что автором обновления является именно антивирусная компания, средствами которой вы пользуетесь, было бы достаточно, если бы обновление подписывалось электронной подписью (ЭП) производителя, а вы могли бы эту подпись проверить. В этом случае, установив, что подпись правильна, срок действия ее не истек, сертификат действующий, и так далее – вы можете убедиться, что получили именно то обновление, которое изготовлено антивирусной компанией.  Можно с уверенностью сказать, что подписание обновлений электронной подписью и проверка этой подписи вами может блокировать угрозу подмены обновлений. Конечно, для этого необходимо, как минимум, чтобы авторы обновлений захотели их подписывать, а на вашем компьютере были средства проверки ЭП.

Но есть и более опасные возможности доставки РПВ от злоумышленника к вам. Эти способы известны специалистам, и связаны с возможностью как бы «навязать» антивирусной компании доставку Вам в составе обновлений некоторой последовательности, которая при определенных условиях может быть преобразована в разрушающее программное воздействие. Чтобы блокировать угрозы такого рода, необходимо применение гораздо более сложных контрольных процедур, требующих аппаратной поддержки. Измениться при этом должна и процедура сертификации обновлений антивирусных баз.

Из рассмотренного нами получается, что в общем случае нельзя предотвратить доставку кода вируса на компьютер. И справиться с таким видом доставки РПВ вообще невозможно за счет антивирусных средств.

Как же решить данную проблему? Находящиеся в статическом состоянии вирусы никому не нанесут вреда, пока не будут исполнены. Таким образом, если контролировать запуск программ, то можно обезопасить себя от вирусов, находящихся в компьютере.

Средства, которые помогут это реализовать – это средства защиты от несанкционированного доступа (НСД), которые обладают возможностями управления доступом и контроля запуска задач. Такие системы защиты от НСД позволяют создать среду, в которой могут исполняться только разрешенные для исполнения задачи. Если в такой среде не предоставить права исполняться неизвестным задачам, то вирус и не исполнится. В качестве примера такого средства защиты можно привести СЗИ НСД «Аккорд», о котором мы уже много говорили в предыдущих темах нашего курса.

Подведем итог, вирус не обязательно опасен даже в доставленном виде. Вирус не обнаруживается (в общем случае) в статическом состоянии. Запретив исполнение вируса, мы никогда не обнаружим его присутствия, так как для ряда вирусов обнаружить можно только проявления, а их-то как-раз и не будет. Значит, для обнаружения вируса его нужно исполнять. А исполнять нельзя – это погубит компьютерную систему. Для разрешения этого противоречия можно поступить следующим образом – попробовать разрешить вирусу исполниться, но в изолированной вычислительной среде. Действительно, в процессе выполнения вирус проявит себя, но не сможет нанести урон нашему компьютеру и данным на нем. Подробности о том, как это сделать можно прочитать в литературе, приведенной в материалах к данной лекции.

Итак, в данной лекции мы поговорили о средствах антивирусной защиты. Построили их классификацию и разобрали, что представляют собой антивирусные средства, относящиеся к каждой из выделенных групп данной классификации. Так же поговорили о жизненном цикле разрушающих программных воздействий (вирусов), и о том, как борются с этими вирусами на каждом из этапов данного цикла. Рассмотрели появляющиеся при этом проблемы и предложили пути их решения.

Спасибо за внимание!