Лекция: Понятие разрушающих программных средств
Определим разрушающие программные средства как класс, базирующийся на классе программ. Действительно, все разрушающие программные средства (вирусы, программные закладки, средства взлома почтовых серверов) несомненно являются программами, так как обладают их основными свойствами, т. е. представляют собой набор инструкций некоторого интерпретатора и реализуют определенный алгоритм, который с семантической точки зрения является вредоносным. От остальных программ они отличаются наличием некоторых свойств, присущих исключительно разрушающим программным средствам, остальные («полезные») программы подобными свойствами не обладают.
Для того чтобы определить эти свойства, предлагается ввести понятие нелегитимного доступа, характеризующее все аспекты существования и функционирования разрушающих программных средств. Данное понятие является обобщением понятия несанкционированного доступа. Известно, что несанкционированный до-ступ к информации – доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предо-ставляемых средствами вычислительной техники или автоматизированными системами. Однако исследования механизмов функционирования разрушающих программных средств показали, что очень часто они не нарушают правил, установленных принятой во многих современных операционных системах политикой безопасности. Например, почему является нарушением желание зарегистрированного легального пользователя вспомнить свой собственный пароль. Операционная система (точнее система разграничения доступа) не знает же, что на самом деле это не легальный пользователь пытается вспомнить пароль, а некоторая программа, разработанная злоумышленником и запущенная от имени санкционированного пользователя. Примеров таких ситуаций, когда нарушений правил разграничения доступа нет, а безопасность системы нарушена, приводить можно много.
Это означает, что существуют действия, формально не нарушающие политику безопасности, но несущие угрозу безопасности и целостности системы. Возможность таких ситуаций следует из того, что никакая политика безопасности не может предусмотреть все действия программы или пользователя и определить, совершаются ли они в порядке решения рабочих задач или с целью нанесения ущерба.
Действия программы или пользователя, не приводящие к ущербу безопасности и целостности системы называются легитимными[1]. Под нелегитимными операциямипонимаются действия программы или пользователя, наносящие ущерб безопасности или целостности системы. Таким образом, легитимными считаются действия программы или пользователя, не выходящие за рамки их функций в вычислительной системе.
Это определение не дает формального ответа на вопрос, является ли то или иное действие легитимным или нет, для этого требуется информация о функциональном назначении программы в конкретной компьютерной системе.
В свою очередь, понятие политики безопасности и ее нарушения – несанкционированного доступа – было введено для того, чтобы формализовать эти факторы. Отличие понятия легитимности отношений от политики безопасности состоит в том, что политика безопасности служит упрощенной моделью реального распределения ролей пользователей и функций программ в системе, легитимность отношений основывается на проверке нарушения основных характеристик автоматизированной системы – целостности и безопасности.
Разрушающим программным средством (вредоносной программой, программой с потенциально опасными последствиями, разрушающим программным воздействием) называется программа, которая потенциально способна выполнять нелегитимные операции в автоматизированной системе. При этом слово «потенциально» указано в определении умышленно для того, чтобы подчеркнуть, что нарушение безопасности может и не произойти. Примером этого может служить вирус WinCih, который наносит вред компьютерной системе в определенное время (каждый год 26 апреля), но при этом если вы не включили ПЭВМ в этот день, то ничего не произойдет.
Выделим основные виды нелегитимных операций [2].
1. Нелегитимное использование ресурсов. Разрушающие программные средства в отличие от полезных программ осущест-вляют нелегитимное потребление ресурсов – захват оперативной памяти, дискового пространства; расходуют процессорное время.
2. Нелегитимный доступ к данным. Разрушающие программные средства осуществляют нелегитимный доступ (чтение или запись) к данным. Это одно из основных свойств вредоносных программ.
3. Нелегитимный запуск программ. Это свойство присуще не всем классам разрушающих программных средств, в основном это «сетевые черви», Trojan-Downloaders и др. В некоторых случаях разрушающие программные средства существуют и распространяются не как программы на некотором носителе, а как процессы в операционной системе.
Таким образом, под разрушающим программным средством понимается программа, которая осуществляет нелегитимный доступ либо к данным, либо к ресурсам, либо к программам. Наличие хотя бы одной из этих функций позволяет отнести исследуемую программу к классу разрушающих. В конкретных автоматизированных системах может существовать множество способов реализации нелегитимного доступа к ее объектам, что порождает огромное разнообразие классов и типов разрушающих программных средств. Однако с точки зрения анализа безопасности решающим является сам факт наличия нелегитимного доступа.
Выделим характерные признаки наличия разрушающих программных средств в автоматизированной системе [1, 2]:
– скрытие признаков своего присутствия в программной среде автоматизированной системы;
– реализация самодублирования, ассоциирования себя с другими программами и (или) переноса своих фрагментов в иные (не занимаемые изначально указанной программой) области оперативной или внешней памяти;
– разрушение (искажение произвольным образом) кода программ в оперативной памяти компьютерной системы;
– перенос (сохранение) фрагментов информации из оперативной памяти в некоторые другие области оперативной или внешней памяти;
– изменение произвольным образом, блокирование и (или) подмена выводимого во внешнюю память или канал связи массива информации либо изменение его параметров.