Embed Size (px)
Citation preview
ИКОНОМИЧЕСКИ УНИВЕРСИТЕТ – ВАРНА
Специалност - Информатика
Тема: Вируси, антивируси и защитни стени
Изготвила: Проверили: Станка Николова Христова Доц. Д-р. Стефан Дражев Фак. № 10324 Група 59 Курс 5 х.Ас. Видилина Кръстева
Гр. Варна 2013 г.
Вируси, антивируси и защитни стени
Станка Николова Христова, Магистър, Информатика
2
Съдържание
1. ВИРУСИ…………………………………………………………………………………..03
1.1 История на вирусите…………………………………………..………………………03
1.2 Злонамерен софтуер………………………………………..…………………….....…05
1.2.1 Компютърни вируси………………………………………………………………..05
1.2.2 Как се репродуцират вирусите?................................................................................06
1.2.3 Защо биват създавани вируси?.................................................................................07
1.2.4 Характеристика на вирусите……………………………………………………….08
1.2.5 Макровируси………………………………………………………………………..12
1.3 Други видове злонамерен софтуер…………………………………………………….13
1.3.1 Програми – Троянски коне…………………………………………………………13
1.3.2 „Червеи‖……………………………………………………………………………..14
2. АНТИВИРУСЕН СОФТУЕР………………………………………………………….15
2.1 Компоненти на антивирусната програма…………………………………………..…15
2.2 Тенденции……………………………………………………………..………………..16
2.3 Допълнителни мерки и добавки към антивирусния софтуер………….…………....16
2.4 Как да изберем антивирусна програма?.......................................................................17
2.5 Антивирусни програми……………………………………………………………..…17
3. ЗАЩИТНИ СТЕНИ ………………………………………………………………….....21
3.1 Функции на защитната стена………………………...……………………………..…22
3.1.1 Основни функционалности………………………………………………...…...…22
3.1.2 Допълнителни функционалности………………………………………………....23
3.2 Политика на защитните стени…………………………………………………..…….24
3.3 Видове защитни стени………………………………………………………………....25
3.4 Защитни стени – програми…………………………………………………………….26
Вируси, антивируси и защитни стени
Станка Николова Христова, Магистър, Информатика
3
1. ВИРУСИ
1.1 История на вирусите
Компютърните вируси са изследвани от много хора в компютърната индустрия
още от 60-те и 70-те години на миналия век. Те са официално дефинирани от Фред
Коен през 1983г., когато той предприема експеримент с компютърната сигурност.
Няколко години по-късно, през 1986г. , първият официален компютърен вирус – Brain,
поема пътя си ‖на свобода‖. Brain е вирус на сектора за начално зареждане (boot sector),
който поразява 360К дискети.
В края на 1986г. Като доказателство за правотата на концепцията са създадени
вирусите Virdem и Burger, които заразяват файлове. Тогава концепциите за вируси и
пробиви в сигурността стават реалност, като на заинтересованите страни е предоставен
и примерен код.
През1987г. се появява първата вълна от компютърни вируси, които поразяват
компютри ‖на свобода‖. Университети по цял свят страдат от епидемията, тъй като
студентите си предават файлове и дискети от компютър на компютър. Един от най-
добре познатите днс вируси – Jerusalem, е открит в Еврейския университет в Израел
през 1987г.
През 1988г. Вирусните инфекциинавлизат широко в новините. Вирусът The
internet Worm, създаден от Робърт Т. Морис в университета в Корнел, бива пуснат
‖на свобода‖. Джон МакАфий съобщава, че този вирус приченил щети оценявани на
98 253 260 долара. Но хора запознати със случая, твърдят, че нанесените щети са за
около 1 000 000 долара. В официално съобщение на Корнелския университет се казва,
че Джон МакАфий – човекът, направил оценката за 98 253 260 долара, ―вероятно си е
послужил с нея‖, за да подпомогне бизнеса си. Злонамереният софтуер става номер
едно, като предизвиква материали в ―Byte‖, ―Business Week‖, ―Fortune‖, ―PC
Computing‖, ―Time‖ и ―US News & World Report‖.
До 1989г. е потвърдено съществуването на 30 вируса. Поставена е основата на
индустрия за антивирусен софтуер и средства за защита. Хора като Джо Уелс – водещ
антивирусен консултант, започват кариерата си в края на 80-те и началото на 90-те
години на миналия век. Програмистите, които се занимават със създаване на софтуер за
откриване на вируси, включително евристични програми за откриване на нови,
нерегистрирани вируси ‖на свобода‖, имат огромно количество работа.
Програмистите на подземния свят били също толкова заети да пишат нови
вируси.Хора със стрънни имена като Дарк Авенджър (Dark Avenger – „Мрачен
отмъстител‖), започват да се появяват в новините. В началото на 90-те години към
редиците на вирусите, откривани ‖на свобода‖, се присъединяват нови, полиморфни,
бронирани, сложни видовевируси. В Интернет се наблюдават координирани усилия,
тъй като нелегалните автори на вируси започват да обменят вируси, код и идеи
чрезбюлетинни табла и дискусионни групи в Usenet.
През 1990г. операционната система за Macintosh извършва основно обновяване с
появата на System 7.0. Така ефективно се елиминира голяма част от предишната
заплаха от вируси, тъй като те са несъвместими с новата версия на операционната
система, на която са базирани вирусите на РС.
За да се улисни координацията в борбата с вируси, през декември 1990г. в
Хамбург се създава Европейски институт за компютърни антивирусни проучвания
(European Institute for Coputer Antivirus Research - EICAR). Тази група започва да
Вируси, антивируси и защитни стени
Станка Николова Христова, Магистър, Информатика
4
обменя идеи за антивирусна защита, като впоследствие пуска тестовия файл EICAR,
използван за удостоверяване на правилната работа на инсталирания антивирусен
софтуер.
Авторите на вируси отвръщат на удара със създаане на сложни инструменти
VCC (Virus Creation Center- Център за създаване на вируси), които на практика
позволяват на всеки компютърен потребител да създава вируси. Програми като
Mutation Engine (MtE), Virus Creation Laboratory (VCL) и Phalcon/Skism Mass-Produced
Code Generator стават широкодостъпни, като прекратяват съществуването си
‖ъндърграунд. До края на онази година биват регистрирани над 1000 вируса. През
1992г. е открит на свобода първият вирус за Windows – WinVir.
През 1993г. Microsoft пуска на пазара MS-DOS, версия 6.0 . MS-DOS 6.2
включва MSAV – програма за антивирусна защита, която имамалко значение за
антивирусната идустрия. Същата година Джо Уелс публикува първия списък ‖WildList‖
с всички потвърдени вируси на свобода. По това време във Вашингтон, окръг
Колумбия е открит вирусът StanBug, създаден от непълнолетен. Вируси като Monkey,
които използват шифриране и заразяват главния запис за начално зареждане (Master
Boot Record - MBR) на твърди дискове, променят правилатана играта за отстраняване
на вируси и възстановяване на заразени носители. Marryxmas – обикновен вирус,
поразяващ HyperCard на Macintosh, също се появява през 1993г. и е открит „на
свобода‖ от Кен Дънам.
Успехът на компютрите, компютърните мрежи и Интернет през 90-те години
затрудняват още повече усилия за борба с вирусите. Тъй като всички хора се свързват с
виртуалното общество и започват свободно да обменят файлове и дискети,
компютърните вируси започват да се разпространяват в големи мащаби.
Синхронизацията на пускане на макровируси е съвършена, започвайки с вируса
Concept през 1995г. , а стратегията за въпроизвеждане се оказва високо ефективна.
Макровирусите (т.е вируси предавани чрез макроси) заразяват документи на Microsoft
Word и може да бъдат предавани и на двете платформи – Macintosh и РС чрез заразени
файлове на Word, предавани чрез дискети или по електронна поща.
Индустрията за антивирусен софтуер и корпоративна Америка започва да губят
почва под краката си в усилията си да се предпазят от вирусите на свобода. Компании
като Microsoft са объркани от появата на пазар на два търговски компактдиска,
заразени с вируса Concept. Стратегиите за защита, знанията и антивирусния софтуер,
ако изобщо е имало такива, са още в начален стадий на развитие в много корпоративни
среди.
Към края на 1996г. макровирусите заемат първо място като най-
разпространените вируси на свобода. С внезапното отприщване на вирусите медиите
отново откриват, че вирусите са много благодатна тема за новини. Страхът от
заразяване с компютърни вируси е посят в сърцето и ума на милиони компютърни
потребители по цял свят. Почти всеки познава някой, който е пострадал от компютърен
вирус или е чувал за зловредна програма, изтрила всичко на един компютър.
Последните няколко години на миналого хилядолетие произведоха нови заплахи
и за двете платформи Macintosh и РС. През 1998г. се появи „червият‖ Autostart -
първият значителен вирус за Macintosh от четири години насам. Потребителите на
Интернет започват да се сблъскват с атаки от рода „отказ от услуги‖, създадени с
новите технологии на Java и JavaScript. Червеи като Melissa и Happy99.exe (SKA)
получявят широко разпространение чрез електронната поща.
Хилядолетието завършва с твъде голям страх, внушен от средностатистическия
компютърен потребител. Толкова много технологии за толкова кратко време, че хората
започнаха да се питат: „Какво в края на краищата, могат да правят компютрите?‖
Вируси, антивируси и защитни стени
Станка Николова Христова, Магистър, Информатика
5
Компютрите се превръщат в неоценимо средство за работа на средния домашен или
корпоративен потребител. Опасенията от загуба на часове работа или ценни данни е
основателен с все по нарастващата зависимост от компютърните технологии.
1.2 Злонамерен софтуер
„Злонамелен софтуер‖ (malware, от „malicious software‖) е общо понятие което обхваща
голям диапазон от всякакъв нежелан софтуер – компютърни вируси, , атаки от типа
„отказ на услуги‖, „троянски коне‖, „червеи‖ и т.н. Използваната на английски език
дума „malware‖ произлиза от съчетанието на думите „MALicious‖ (злобен, злонамерен)
и „software‖ (софтуер). Злонамерен софтуер е всякакъв вид софтуер, създаден с „лоши‖
намерения. Някои видове злонамерен софтуер като макровируса Concept имат за цел
само да репродуцират, докато други – като Chernobyl могат да изтриват съдържанието
на цели дискови устройства.
В дефиницията на злонамерен софтуер понякога попадат и шегобийски
програми като Joke.Win.Stupid. Такива шегобийски или „лъжливи‖ програми
обикновено се създават с цел закачка, а не с намерение да навредят. Така нареченият
„спам‖, например шегаджийски електронни съобщения като PenPal Greetings, не е
софтуер и не се включва в официалната дефиниция на злонамерен софтуер. Все пак
някои потребители изпадат в паника, щом прочетат в съобщение по електронната поща
предупреждение за „изчезване‖ на компютъра. Когато настъпи паника, потребителят
може да изключи неправилно компютъра си и така да повредифайлове, операционната
система, а дори и хардуерни компоненти – например дисково устройство. Такива
„невинни‖ измами понякога причиняват много повече щети, например защото
информационният отдел в дадена компания трябва да изгуби много време и усилияда
предотврати, съхрани и предпази данните от заплаха, която напрактика не съществува.
Разбирането на основните положения при злонамерен софтуер ще помогне на
много потребители да избягват инциденти с такива програми, както и да различават
истинската заплаха от обикновените шеги, измамни закачки или нормални
предупреждения на системата. Например съобщението за грешка от общ характер в
защитата (General Protection Fault - GPF) е нещо, което опитният потребител ще
разпознае като нормална част от живота на работна среда под Windows. Неопитният
потребител обаче винаги се опасява от най-лошото и може да интерпретира GPF като
заразяване с вирус. Придобиването на грамотност за основите на компютъра,
софтуерната конфигурация, конфликтите и програмните грешки е част от дългия път
към получаване на удовлетворение от работата с компютри.
1.2.1 Компютърни вируси
Компютърен вирус е програма, предназначена да се репродуцира, разпространява от
компютър на компютър чрез програми-гостоприемници, и понякога да извършва
зловредно действие. Налични са различни типове вируси с многообразни
характеристики и избягване на разпознаване, възпроизвеждане и доставяне на
ефективен товар на един компютър.
Вируси, антивируси и защитни стени
Станка Николова Христова, Магистър, Информатика
6
1.2.2 Как се репродуцират вирусите?
Вирусите се притаяват в очакване на даден компютър, както при изпълнение
(стратиране) се репродуцират на локално или мрежовоустройство. След като кодът
бъде стартиран, вирусът може да зарази системата и да се разпространи върху други
файлове, дискове, сектори за начално зареждане и друга компютърна среда.
Изпълнение на кода - всеки път когато в дадена система бъде внесен нов
носител на информация, той я подлага на риск от заразяване с вируси. Когато
потребителят изпълнява действие като отваряне на нов файл, използване на дискета
или стартиране на изтеглена от Интернет програма, може да започне изпълнение на
вирусен код, като позволява на вируса да се разпространи и да зарази цялата система.
Някои вируси търсят да заразят определени файлове, например основният
шаблон за документи, използван с Microsoft (MS) Word – normal.dot. Други извършват
търсене на целия компютър за определени файлови типове, например такива с
разширения .exe или .com.
Паразитно прикрепване към файл-гостоприемник – Вирусите се прикрепват
като паразити към съществуващ файл-гостоприемник на даден компютър. Например
ако игра с име tank.exe съдържа 10 000 байта код, той може да стане 12 000 байта, след
като програмата бъде заразена с вирус.
Когато заразената програма бъде стартирана, кодът на вируса се изпълнява
заедно с кода на tank.exe. Вирусът е зависим от приемащата програма и може да се
разпространи в системата само след като се прикрепи къмсъществуващи файлове. След
като вирусът се стартира, той се прехвърля на друг файл в системата и може също така
да се опита да се изпълни и в паметта.
Вируси, които се изпълняват в паметта – Вирусите TSR (Terminate and stay
resident – „стартирай и остани резидентен‖) под DOS се опитват да се изпълнят в
паметта, след като бъдат стартирани от заразен файл-гостоприемник. Веднъж оказал се
в паметта, кодът на вируса работи за заразяване на най-различни файлове в цялата
система, докато компютърът не бъде изключен. Той може да работи също с цел
скриването си от потребителя или от антивирусна програма, инсталирана на
компютъра.
Много TSR вируси се опитват да заразяват стартови файлове, така че да бъдат
отново стартирани в паметта при следващо рестартиране на компютъра.
Репродуциране на макровируси –Кодът на макровирус се изпълнява при
отваряне на заразен файл на Microsoft Word. Макровируси като например Cap действат
бързо, за да се прикрият, като изключват елемента Macro от менюто Tools м Microsoft
Word. Същевременно те се опитват да заразят файла normal.doc на РС и normal на
Macintosh – глобалният шаблонен файл по подразбиране на Microsoft Word, който се
отваря всеки път при стартиране на приложението.
Всеки файл на Microsoft Word, който бъде отворен след първоначалното
заразяване, в общия случай с заразява от макровируса. Това е изключително ефективен
метод за разпространяване на вируси в мрежова среда, тъй като файловете на Microsoft
Word обикновено се обменят между потребители. Макровирусите са в състояние да
контролират работната среда след отваряне на Microsoft Word, като заразят всеки
отворен или новосъздаден файл, понякога без да бъдат разкрити дълго време.
Вируси, антивируси и защитни стени
Станка Николова Христова, Магистър, Информатика
7
При положение че потребителят не забележи никакви странични дейности от
заразяването с вирус, той може дори да архивира заразените файлове на дискета. След
като вирусът бъде отстранен от системата, по-късно той може да бъде повторно внесен
в нея чрез архивните копия на файловете. Ето защо е изключително важно
потребителите да инсталират сканиращ софтуер с незабавен достъп, който ще помогне
за защита срещу заразяване, докато потребителят работи с компютъра. Потребител,
който разчита на ръчно сканиране с антивирусна програма от време на време, може да
зарази повторно системата си и да продължи да разпространява макровируса за дълъг
период от време.
Ориентация на вирусите към репродуциране – Вирусите разчитат повече на
репродуциране, отколкото на унищожаване или кражба на поверителни данни. Цялата
идея на традиционните вируси е да заразят колкото е възможно компютри и мрежи.
При наличие на такава философия унищожителните действия са сравнително рядко
явление.
Значително по-малко от 10 процента от най-разпространените на свобода вируси
днес носят зловреден товар. Независимо че някои вируси задръстват сървъри за
електронна поща или повреждат файлове, преди да бъдат отстранени от дадена
система, като цяло те не са предназначени да и навредят. Вируси, които са нарочно
злонамерени, като Chernobyl и Love Letter, не са толкова често срещани.
За щастие повечето силно разрушитерни вируси не са толкова изобилни на
свобода както беше Chernobyl през 1999г. и Love Letter през 2000г. Важно е да се
отбележи, че вирусът Chernobyl имал голямо разпространение в Азия, където е поразил
около 600 000 компютъра на 26 април 1999г. и нещо подобно се е случило през 2000г. с
Love Letter. Пораженията са били толкова големи поради разпространяването на
пиратски софтуер и липсата на превантивни мерки.
1.2.3 Защо биват създавани вируси?
Първоначално вирусите били разработвани от изследователи, за да се установи
какво е поведението на определен софтуер при такава заплаха за компютърната
система. Днес вирусите биват създавани за голямо разнообразие от цели, обхващащи
неща от чисто предизвикателство – до кибервойна.
Създаването на един вирус се счита за безотговорно деяние, но етиката на
повечето създатели на вируси включва някакво оправдание на техните злодеяния.
Някои професионални създатели на вируси работят само за да разкриват пробиви в
сигурността или да създават злонамерен софтуер, който ще бъде забелязан от пресата и
публикуван в списъка Wildlist на Джо Уелс.
Преобладаващите мотиви за създаване на злонамелен софтуер включват гордост
и желание за слава, предизвикателство и вандализъм. Следва списък с възможни
мотиви:
Гордост и желание за слава – Вниманието от страна на пресата,
„плодовитостта‖ на даден вирус на свобода, жертвата на зараза,
„първооткривателството‖ на слабо място в защитата или нов метод за заразяване
– всичко това понякога носи определена слава на някои създатели на вируси.
Предизвикателство – Много от ентусиастите, създаващи вируси, търсят и се
наслаждават на предизвикателствата, които им отправят новите технологии.
Отмъщение/Вандализъм – Някои вируси са предназначени специално да нанесат
удар на определена компания или личност. Други създатели са обикновени
Вируси, антивируси и защитни стени
Станка Николова Христова, Магистър, Информатика
8
вандали, които нямат друг мотив, освен да повреждат или унищожават
компютърни системи.
Власт – Някои създатели на вируси изпитват усещане за власт, когато успеят да
изтрият данни или да проникнат в поверителна информация.
Разкриване на слаби места в защитата – Някои програмисти използват
злонамерен софтуер, за да докажат наличие на „дупка‖ в защитата на даден
софтуерен пакет.
Финансова изгода – Цените на акциите на компании, които създават
антивирусен софтуер, в много случаи се определят от избухването на
„епидемии‖ или настъпване на другисъбития, свързани с вируси.
Шпионаж/ Нападение – Получаването на поверителна или секретна
информация за корпоративни инициативи, правителства или отбранителни
системи в много случаи е мотив за атака от страна на някои програмисти.
Кибервойна/Тероризъм – Някои правителства използват злонамерен софтуер
като средство за отбрана. Понякога се използва злонамерен софтуер от страна
на терористи, които имат за цел да компрометират основни обществени
инфраструктури като енергоснабдяване, транспорт или банкова система.
Забавление и шеги – Срещат се различни опростени варианти на вируси,
създадени от юноши, които просто си играят. Добавяне на името на приятел към
кода, редактиране на код, за да бъде „готин‖ или други начини за привличане на
вниманието на съучениците са обичайни примери за донякъде безотговорни
детски игри.
Емоционална подбуда – Някои създатели на вируси имат най-разнообразни
дефицити в емоционалната сфера, което ги кара да създават злонамерен
софтуер, за да получават чувство на самоидентификация, ценност и
утвърждаване в света, какъвто си го представят.
Обучение – Някои преподаватели обучават студентите си как да създават вируси
като упражнение по програмиране. Други работят с вирусни кодове, за да
илюстрират на своите ученици природата и действието на вирусите, като
понякога неволно окуражават създаването на вируси.
Случайно/Бъгове – Понякога се създават варианти на сйществуващи на свобода
вируси при случайно редактиране. Случва се също някои програмисти да
създадат, без да искат, вирусообразни скриптове в процеса на разработване или
отстраняване на програмни грешки от софтуер.
1.2.4 Характеристика на вирусите
Всяко семейство вируси има собствени характеристики и начини за
репродукция. Вирусите са категоризирани по множество различни начини въз основа
на тези характеристики. Голяма част от вирусите имат многообразни характеристики,
което води до попадането им в няколко категории едновременно. Например вирусът
One_Half заразява както файлове, така и главни записи заа начално зареждане (такива
вируси се наричат „многокомпонентни‖ – ―multipartite‖)
Вируси, антивируси и защитни стени
Станка Николова Христова, Магистър, Информатика
9
Характеристики Описание
Armored (―Брониран‖)
Пример: Whale
Тези вируси разполагат със сложни
техники за прикриване като шифриране и
преместване на вирусния код, за да
сеизбегне откриването и премахването им.
Boot-sector infector (BSI)
Пример: Form
Тези вируси инфектират сектора за
начално зареждане на дискове. Вируси,
които заразяват главния запис за начално
зареждане (Master Boot Record - MBR),
може да инфектират сектора за начално
залеждане на дискети. Ефективното
премахване на вируси BSI се осъществява
с форматиране на заразения диск. Вируси
на MBR не може да бъдат премахнати с
форматиране на диска.
Cavity („дълбаещи вируси‖)
Пример: Lehigh
Този тип вируси се опитват да заразят
файл, без да увеличават общата му
дължина, като се записват върху избрани
части от кода на файла-гостоприемник,
опитвайки се да запазят
функционалността му.
Companion („съпътстващ‖)
Пример: Aids II
Този тип вируси създава съпътсващ файл,
който да стартира вирусната програма и
оригиналната програма. Някои
съпътстващи вируси използват свойството
на DOS винаги да стартира файлове с
разширение .com преди тези с
разширение .exe. Тъй като вирусът има
същото име като оригиналната програма,
но е с разширение .com, той винаги се
изпълнява първи, след като е инфектирал
дадена система. Други видове
съпътстващи вируси преименуват
набелязаната програма и създават вирусна
програма с нейното оригинално име.
Encrypting (шифрирани)
Пример: Monkey
Някои вируси използват шифриране на
данни или самошифриране, както се
забелязва при полиморфните вируси.
Вирусът Monkey заразява основния запис
за начално зареждане на твърди дискове и
шифрира данните за дялове (partition) на
устройството. Файловете на това
устройствоможе да бъдат разглеждани
само когато вирусът е зареден в паметта,
за да дешифрира данните на твърдия диск.
Премахването на вируса Monkey
отстранява и възможността за за
разчитане на шифрираните данни за
разпределяне на диска, което напрактика
Вируси, антивируси и защитни стени
Станка Николова Христова, Магистър, Информатика
10
изтрива съдържанието на устройството.
Вирусът като Monkey трябва а се
отстраняватс помощта на специални
инструменти и техники.
File (файлови)
Пример: Jerusalem
Този тип вируси инфектират файлове
например изпълними (.exe) програми или
документи (.com) на Microsoft Word.
Когато бъде отворен заразен файл или е
стартирана заразена програма, вирусът се
изпълнява заедно с инструкциите в
съответния файл. ‖Заразите‖ на
документи на Microsoft Word са познати
като „макровируси‖.
Определени типове файлове като
например изображения (JPEG,GIF)или
филми (MPEG) не са изпълними и не
може да пренасят зараза. Но, от друга
страна, някои вируси се маскират като
такива „безопасни‖ файлове, например
JPEG, за да проникнат безпрепятствено в
системата.
Fast/slow infectors (бързи/бавни инфекции)
Пример: Dark Avenger
Някои вируси контролират скоростта на
разпространение на зараза, за да
предотвратят незабавното им
отстраняване от системата. Някои са
бързи като например Dark Avenger, а
други са преднамерено бавни, като
заразяват само от време на време при
изпълнението си. Например един
бавнозаразяващ вирус може да заразява
веднъж на 15 свои стартирания.
HyperCard (Macintosh)
Пример: Merryxmas
HyperCard е отворена среда за скриптове,
в която потребителите могат да използват
езика HyperTalk, за да пишат
потребителски скриптове, функции и
програми за компютър Macintosh.
Подобно на макровирусите на Visual Basic
, които поразяват Microsoft Word и други
продукти, вирусите HyperCard работят
само в рамките на определена програма.
Macro (макровируси)
Пример: Concept
Макровирусите може да се изпълняват
само в програми, които поддържат
макроси. Microsoft Word и Microsoft Excel
са най-често използваните програми за
заразяване с макровируси, създавани на
Visual Basic for Applications или
WordBasic. От появата на първия
макровирус през 1995г. - Concept,
макровирусите започват стремително
разпространение. Днес те са
Вируси, антивируси и защитни стени
Станка Николова Христова, Магистър, Информатика
11
преобладаващият тип вируси „на
свобода‖.
Master Boot Record (MBR)
Пример: AntiCMOS
Всички твърди дискове съдържат главен
запис за начално зареждане (Master Boot
Record - MBR), към който се обръща
компютърът при стартиране. MBR
вируситезаразяват този запис на твърдия
диск с вирусен код, когато системата
зареди от заразена дискета.
Често срещан начин на заразяване е
когато потребителят забрави заразена
дискета във флопидисковото устройство
при изключване на компютъра.
Следващият път, когато включи
компютъра, той се опитва да зареди
операционната система от дискетата, като
заразява твърдия диск с вируса MBR.
Впоследствие вирусът се изпълнява
заедно с нормалния код на MBR всеки
път когато системата се зарежда от вече
заразения твърд диск.После вирусите се
опитват да заразят секторите за начално
зареждане на дискети и дискове, когато
бъдат използвани.
MBR вирусите не се отстраняват от
диска в процес на форматиране. Тъй като
MBR се намира на различно място на
диска, един вирус трябва да бъде
премахван с инструмент като FDISK или
като системата се зареди от чиста
стартова дискета, преди да бъде
използвана антивирусна програма.
Multipartite (многокомпонентни)
Пример: Pieck
Многокомпонентните вируси се опитват
да с разпространят с голяма скорост, като
заразяват по няколко различни начина
едновременно. Най-честият прийом на
многокомпонентните вируси е да
заразяват както програми, така и главния
запис за началото на зареждане. Този тип
вируси често се разпространяват успешно
на свобода, но понастоящем са рядкост.
Polymorphic (полиморфни)
Пример: Hare
Полиморфните вируси съдържат сложни
инструкции, които позволяват на
вирусите да мутират в нов и различни
форми в рамките на същото семейство
вируси. Разкриването на добре
програмирани полиморфни вируси е
изключително трудно. Новите евристични
методи подпомагат откриването и
Вируси, антивируси и защитни стени
Станка Николова Христова, Магистър, Информатика
12
1.2.5 Макровируси
Макровирусите са най-често срещаните „на свобода‖ компютърни вируси днес.
Те се предават лесно чрез електронни писма, дискове и флаш памет, като се съдържат в
документи на Microsoft Word, Microsoft Excel и други програми, пъддържащи макроси.
Първият макровирус – Concept, бе открит „на свобода‖ през 1995г. От тогава броя на
макровирусите е нараснал лавинообразно.
премахването на нови и по-рано -
неоткриваеми полиморфни вируси на
свобода. За съжаление евристичните
методи понякога отчитат ‖лъжливи
положителни‖ резултати или неправилно
разпознаване, когато търсят ‖подобен на
вирус‖ код.
Stealth („потайни‖)
Пример: One_Half
Тези вируси се опитват да скрият
присъствието си на заразената система,
така че да могат да се репродуцират и да
останат неразкрити дълго време.
Прикритите вируси могат да прихващат
системни съобщения за проверка и да ги
връщат обратно с отчет за незаразен
документ, като така припятстмат
разкриването им. Налични са няколко
добре познати, но рядко срещани
експертни техники за прикриване, които
включват „брониране‖ и „дълбане‖,
„тунелиране‖.
Terminate and stay resident (TSR)
Пример: Jerusalem
Тези вируси за DOS се зареждат в
паметта, когато бъдат стартирани,
независимо че първоначално приелата ги
програма може да е прекратила работата
си. След първоначалното заразяване
много TSR вируси са създадени така, че
да се зареждат в паметта при всяко
стартиране на системата.
Tunneling (тунелиране) Такива вируси могат директно да викат
оригиналните манипулатори на
прекъсване (interrupt handlers) в DOS и
BIOS, като заобикалят програмите за
мониторинг, които се изпълняват с цел
откриване на вирусна активност.
Интересното в случая е, че някои
антивирусни програми също използват
техника на тунелиране, за да заобиколят
вируси, които евентуално се изпълняват в
паметта.
Вируси, антивируси и защитни стени
Станка Николова Христова, Магистър, Информатика
13
Макровирусите заплашват програмния код на Visual Basic for Applications (VBA)
и WordBasi. Един пример на макрокод на VBA се използва за промяна на стила,
размера и цвета на шрифта на избран текст:
Sub Toggle
‗
‗Toggle Macro
‗Macro Recorded 03/12/00 by Ken Dunham
‗
Selection.Font.Bold = wdToggle
Selection.Font.Size = 48
Selection.Font.Name = ―Arial‖
Selection.Font.ColorIndex = wdRed
End Sub
Изразите Sub и End Sub съответно започват и свършват макроса. Името на макроса, в
този случай Toggle, се намира на третия ред на подпрограмата на скрипта. Останалата
част от кода променя избрания текст до размер на буквите 48 пункта, шрифт Arial и
червен цвят. Когато даден макровирус се редактира от начинаещ, една малка промяна
(например на 48 със 72) прибавя нов вирус към семейството. Трикът при създаване на
нови макровируси е да се намери начин за тяхното репродуциране. Това обикновено се
осъществява чрез заразяване на файла normal.dot – стартиращият файл който
обикновено се изпълнява при отваряне на Microsoft Word. Когато Word стартира
normal.dot обикновено е отворен, а макросите, записани в него, се изпълняват в
паметта, докато потребителите работят.
1.3 Други видове злонамерен софтуер
1.3.1 Програми - Троянски коне
В компютърния свят троянският кон, наричан още троянец, е злонамерена
програма, за която се твърди, че притежава някаква полезна цел, а всъщност би
причинила нещо съвсем различно при изпълнението си, например: превземането на
канали в IRC, изтриване на съдържание от твърдия диск, кражба на поверителни данни
(пароли, информация за банкови сметки и кредитни карти) и др. Тези програми са
получили името си от мита за големия, кух дървен кон, чрез който гърците печелят
Троянската война, като се скриват в него и се промъкват в укрепения град Троя.
Троянските коне обикновено се разпространяват под формата на изпълними файлове за
Microsoft Windows: .exe, .scr, .bat или .pif. Неопитният потребител, който работи с
настройкте по подразбиране, при които разширенията на файловете се скриват, не е в
състояние да разбере истинския вид на файла, ако е маскиран с т.нар. двойно
разширение, например 'Readme.txt.exe', потребителят ще види единствено 'Readme.txt',
като истинското разширение .exe ще остане скрито. За да е пълна заблудата, троянецът,
след стартирането си, наистина би могъл да отвори някакъв текстов документ, Или да
имитира инсталационен просес, но всъщност ще работи във фонов режим и тайно ще
краде, променя или изтрива информаиция или настройки на компютъра, а дори би
могъл да се използва от злонамерени трети лица за извършването на атаки върху други
мрежи, най-често разпределени атаки от тип „отказ от услуга“ (Distributed Denial of
Service - DDoS).
Вируси, антивируси и защитни стени
Станка Николова Христова, Магистър, Информатика
14
За да се защитите от троянските коне, никога не отваряйте приложения към
електронните писма, които не сте очаквали да получите, особено ако подателят е
неизвестен. Винаги използвайте противовирусна програма за проверка на файловете
преди тяхното отваряне. Пазете се от файлове, свалени чрез програми за споделяне
посредством p2p (peer-to-peer) като KaZaA или Gnutella. Това е един от най-известните
начини за разпространение на троянските коне. Никога не влизайте в сайтове,
настояващи да ги гледате с IE при разрешен ActiveX. Никога, не цъкайте на непознат
файл, „за да се отвори, та да го видите за какво е.― Уви, втория съвет го спазват само
тези, които са се мъчили да си възстановят изгубените файлове.
Най-често троянския кон е създаден, за да контролира компютъра, на който е бил
стартиран. Примери за такива троянски коне са NetBus, SubSeven, Back Orifice и др.
Днешните противовирусни програми безпроблемно улавят по-голямата част от
съществуващите троянски коне, но има и такива, които са специално проектирани да не
се забелязват от противовирусния софтуер или да го обезвреждат.
Принципът на работа на троянския кон е доста прост — след изпъленението си на
даден компютър (примерът е за компютри работещи с MS Windows) той създава
ключове в т.нар. регистър (registry), откъдето си осигурява начално стартиране, когато
се стартира операционната система. След като се зареди в паметта, той действа на
принципа на сървър и отваря един или повече порта, чрез които злонамерени личности,
използващи клиентска програма, пригодена да работи с дадения вид троянец, биха
могли да използват заразения компютър. Клиентите често придобиват пълен контрол
над компютъра и могат дори да местят курсора на мишката върху монитора, както и да
четат, трият, или качват файлове.
Съществуват троянци, които се ъпдейтват сами до последна версия.
Радикален начин за борба е да се взима интернет през прокси, без гейтуей но на IE да са
зададени неверни настройки, така че, да не може да се свърже с Интернет. Към момента
няма злонамерена програма, (те са по-напредничави от добронамерените) която да
търси на друго място настройките за връзка с интернет, освен от IE. А някои просто
ползват IE за връзка, като го пускат през неговите API, без да се показва прозорец.
1.3.2 „Червеи”
Компютърният червей (computer worm) е самовъзпроизвеждаща се
компютърна програма. Той използва компютърната мрежа, за да разпраща свои копия
до крайните устройства (компютърните терминали в мрежата). За разлика от
компютърния вирус, компютърният червей не се нуждае от прикачване към вече
съществуваща програма. Червеите почти винаги причиняват вреда на мрежата, тъй като
консумират от нейната пропускателна способност, докато вирусите почти винаги
повреждат или променят файловете на заразения компютър.
Червеите се разпространяват, като използват пролуки в операционните системи.
Всички търговци периодично предоставят актуализации, които ако бъдат инсталирани,
спират разпространението на повечето червеи.
Вируси, антивируси и защитни стени
Станка Николова Христова, Магистър, Информатика
15
Потребителите трябва да бъдат внимателни, когато получават електронни писма от
непознати и неизвестни податели и не трябва да отварят прикачените файлове в тях или
да посещават уебсайтовете, към които сочат писмата. Въпреки това, с увеличаването на
количеството и качеството на фишинг атаките остава възможността крайният
потребител да задейства зловреден код.
Антивирусният и антишпионският софтуер помагат за елиминирането на заплахата, но
трябва да бъдат актуализирани често, поне на няколко дни. Препоръчителна е също
употребата и на защитна стена.
2. АНТИВИРУСЕН СОФТУЕР
Антивирусен софтуер е сборното название на всички видове софтуерни
приложения, предназначени за предпазване от и отстраняване на компютърни вируси и
други злонамерени програми при персоналните компютри. Тези програми, още познати
под името malware, могат да бъдат главно няколко вида - троянски коне, червеи и
вируси.
Задачата на антивирусния софтуер е да предпазва компютъра, като постоянно следи
файловете, които се изпълняват и отварят за възможни заплахи. Доста голяма
популярност набират продуктите от типа "Всичко в едно" ("All in one"),които включват
пълен набор от инструменти и програми срещу вредителите.
Всяка антивирусна програма притежава различен алгоритъм на сканиране и
практически е невъзможно да открие всички вируси, които заразяват даден компютър.
Всяка програма е уникална и притежава различни възможности за защита. Тези
различия са довели до създаването на организации, които ги подлагат на тестове за
сигурност и сравняват получените резултати.
2.1 Компоненти на антивирусната програма (софтуер)
Файлов скенер, който постоянно да следи файловата система за възможни
инфекции.
Модул, който да следи интернет трафика и да блокира вирусите, дори преди да
са пристигнали на хард диска на потребителя.
Проактивна защита или евристичен скенер (емулатор), който следи активността
на процесите в системата и при опасни действия алармира, като така предпазва
дори от непознати вируси.
Скенер за пощенския клиент, който проверява всички изходящи и входящи
писма от електронната поща.
Антишпионски модул,който осигурява, не само защита от "spyware" ( в превод:
шпионски софтуер), но и премахва нежелани изскачащи прозорци (на
английски: pop-ups), банери и т.н.
Защитна стена (Firewall), която предпазва от набези на хакери, но и филтрира
целия интернет трафик позволявайки да се избира, кои приложения да имат
достъп до Интернет и кои не, като така може да предотврати изтеглянето на
злонамерени програми на компютъра. Защитната стена следи портовете на
Вируси, антивируси и защитни стени
Станка Николова Христова, Магистър, Информатика
16
компютъра, чрез които той осъществява контакт с други компютри. Много често
злонамерени потребители използват програмки, наречени експлойти, за да
проникнат в компютрите през определени "отворени" портове.
2.2 Тенденции
Поради непрекъснато увеличаващия се брой на интернет измамите, вирусите и други
злонамерени програми, инсталирането на софтуер за сигурност се превърна в
необходимост. Малките компании, произвеждащи такъв софтуер, вместо да се
конкурират, решават да се слеят и да обединят своите разработки в големи пакети за
антивирусна защита. Такъв пример е покупката на Ewido Networks от Grisoft.
2.3 Допълнителни мерки и добавки към антивирусния софтуер
Освен основния /класическият/ антивирусен софтуер има и друг /допълнителен, но не
по-лош/, който се използва за подобряване на защитата на един компютър срещу
вируси и други злонамерени програми:
1. Антивирусните скенери за "ръчно сканиране" /в смисъл, че се задействат от
човека/ са подходящи за почистването на вече заразени компютри. Примери:
Kaspersky virus removal tool, McAfee Stinger, Norman malware cleaner, avast! Virus
Cleaner и др. Лесно могат да се намерят на сайтовете на антивирусните
компании и се предоставят безплатно. Всяка голяма антивирусна компания
безплатно разпространява и скенери срещу отделни специфични вируси, червеи
и троянски коне. Те откриват и унищожават отделен конкретен вид вирус.
Съществуват и web базирани антивирусни скенери. Извършват проверка с много
антивирусни програми на качен на web-сайта им от потребителя файл. Примери
за такива: VirusTotal, VirSCAN.Org, Jotti's malware scan и др. Чрез друг вид web
базирани антивирусни скенери може да се провери целия компютър на
потребителя за наличие на вируси. Такива са напр. BitDefender Online Scanner,
ESET Online Scanner, F-Secure Online Scanner, Kaspersky Online Scanner 7.0,
HouseCall 7.0 beta, Norton Security Scan! и др. Всъщност това е услуга.
Внимание! Ръчните скенери не могат да предпазят компютрите от заразяване с
вируси, защото нямат автоматична част, която да следи непрекъснато
оперативната памет на компютъра. Ръчните скенери могат да унищожат
вирусите, да изтрият заразените файлове, но не могат да възстановят повредите,
причинени от вирусите. След като се пусне един ръчен антивирусен скенер, не
трябва да се стартира никаква друга програма на проверявания компютър.
Една от разновидностите на антивирусните скенери са скенерите плъгини за уеб
браузъри. Такъв пример е DR. Web Link Checker. Той представлява разширение за уеб
браузъри, с чиято помощ можете да сканирате файлове и линкове от контекстното
меню на браузъра чрез сървър.
2. Anti-rootkits са специализирани програми за откриването на зловредни
програми (rootkits),които по принцип са много трудни за откриване и
Вируси, антивируси и защитни стени
Станка Николова Христова, Магистър, Информатика
17
антивирусните програми не се справят добре при засичането им. За тези
програми започна да се говори повече след случая със Sony Rootkit.
3. Антишпионски и антирекламен софтуер се използва за почистването на
spyware, adware, keyloggers и други вредни програми.
2.4 Как да изберем антивирусна програма ?
1. Проверете дали антивирусната програма има сертификат за съвместимост с
операционната система, която ще защитава , примерно от Microsoft за
съвместимост с Windows.(или поне по-стара версия да е била сертифицирана ! )
2. Потърсете информация колко бързо се е реагирало на докладван проблем
(повечето производители имат форуми)
3. Потърсете информация доколко се справя с почистването и възстановяването на
системата (едни продукти не могат да възстановят системата поразена от червей
а други могат )
4. Поискайте документ за представителност на продавача ! В България това е
минимума за защита от търговци пирати!
5. Ефективната програма е достатъчна! тя няма нужда от други "анти" програми в
помощ.
2.5 Антивирусни програми
NOD32
Вируси, антивируси и защитни стени
Станка Николова Христова, Магистър, Информатика
18
NOD32 е антивирусна система от ново поколение, използваща монолитно ядро за
откриване и защита срещу широк спектър появяващи се заплахи, включително вируси,
spyware, adware и phishing атаките – в реално време, дори преди да са излязли
вирусните дефиниции. NOD32 притежава най-добрите евристики в лицето на
ThreatSense™. Това е технология от ново поколение, която проактивно (енергично,
агресивно, интензивно) дешифрира и анализира изпълнимия код, за да идентифицира
все по-сложното поведение на ново появяващите се вредители.
Avira Internet Security
Avira Internet Security е антивирусна програма. С тази програма ще можете да
защитите компютъра си от вируси, троянци, шпионски и зловреден софтуер, като освен
това ще имате възможност да извършите цялостно или частично сканиране, да изберете
и създавате резервни копия на най-ценните си файлове, за да се уверите, че те няма да
се повредят или да бъдат изтрити, да включите автоматично подновяване на
дефинициите, да използвате защита при браузване в Интернет и т.н.
Програмата е с приятен интерфейс.
Вируси, антивируси и защитни стени
Станка Николова Христова, Магистър, Информатика
19
аvast!
аvast! е антивирусна програма, набираща все по-голяма популярност както в България,
така и по света. Резидентната защита на програмата разполага с няколко отделни
модула, които ви предпазват от зарази на различни нива – стандартен щит, Интернет
щит, проверка на изходящата и входяща поща и др. Програмата е носител на
множество отличия, сред които е престижната награда за най-добра антивирусна
програма на SC 2006 в САЩ и Европа. Програмата се разработва от Alwil Software и е
напълно безплатна за домашна и некомерсиална употреба.
Kaspersky Anti-Virus
Вируси, антивируси и защитни стени
Станка Николова Христова, Магистър, Информатика
20
Kaspersky Anti-Virus комбинира различни методи за откриване и отстраняване на
вируси, троянски коне и други вредители от вашата система, съчетавайки бързина и
приятен интерфейс. Програмата съдържа в себе си няколко модула, включително и за
Интернет заплахи.
Panda Cloud Antivirus Free Edition
Panda Cloud Antivirus Free Edition е анти-вирусна програма. С тази програма ще
можете да сканирате компютъра си за вируси, червеи, троянски коне, рууткити,
шпионски програми и зловреден софтуер. Програмата предлага премахване или
Вируси, антивируси и защитни стени
Станка Николова Христова, Магистър, Информатика
21
поставяне под карантина на откритите заплахи, непрекъснат ъпдейт на дефинициите,
опция за автоматично сканиране ежеседмично в определен ден и час от седмицата и
т.н. Програмата е безплатна.
Ad-Aware Free Antivirus
Ad-Aware Free Antivirus е анти-вирусна програма. С тази програма ще можете да
защитите компютъра си от проникване на вируси, червеи, рууткити, шпионски
софтуер, троянски коне и друг зловреден софтуер. Програмата предлага пълни
сканиране на системата и работещите процеси, непрекъснат ъпдейт на дефинициите,
защита на регистрите, поставяне под карантина или премахване на открити заплахи и
много други. Програмата е с лек интерфейс за настройка.
3. ЗАЩИТНИ СТЕНИ
Диаграма на защитна стена
Защитната стена (на английски: firewall), срещано и като файъруол, е специализиран
хардуер или софтуер, който проверява мрежовия трафик, преминаващ през него и
разрешава или забранява достъпа, съобразно определени правила.
Вируси, антивируси и защитни стени
Станка Николова Христова, Магистър, Информатика
22
Буквалният превод на английския термин е „огнена стена―, който е лишен от смисъл в
конкретния случай. Първоначалното значение на думата идва от американските
строителни норми, предписващи поставянето в сградите на пожарозащитни стени
(устойчиви на огън стени), които да спират разпространението на пожари в сградата.
Реализирани са защитни стени, работещи на различни нива от OSI модела, като най-
високото е приложният слой (application layer), а най-ниското – каналният слой (datalink
layer) от OSI модела. Най-често защитните стени работят на нивото на мрежовия и
транспортния слоеве (network layer, transport layer), където изследват пакетите данни на
TCP/IP протоколите и обикновено взимат решенията си в зависимост от IP адреса на
изпращача или дестинацията, порта, от който пакетът е получен или на който ще се
изпрати, или всяка комбинация от тези параметри. Гледат се също така и опциите в
заглавната част на пакета. Защитните стени, които работят на приложния слой от OSI
модела, филтрират трафика между вътрешната и външната мрежи по отношение на
пренасяната в пакетите информация, чрез зададени ключови думи и като следят за
спам, компютърни вируси и троянски коне.
3.1 Функции на защитната стена
Фигуративно казано, защитната стена представлява "граничен контролен пункт" за
желаещите да преминат пакети. Целият трафик се осъществява през този пункт, който
има за задача да пропуска само което е безопасно. При настройка на защитата има два
генерални подхода:
1. пропускат се всички данни и услуги с изключение на изрично забранените,
2. забраняват се всички данни и услуги с изключение на специално разрешените.
3.1.1 Основни функционалности
Три са основните функции на защитната стена:
да блокира данните, за които има вероятност да прикриват хакерски атаки,
да скрива информация за мрежата, като за изходящия трафик маскира IP адреса
на мрежата с IP адреса на защитната стена,
да води дневници (logs) за информационния поток със записи на определени
събития.
Блокиране на данни
Данните се блокират тогава, когато не отговарят на правилата за сигурност, зададени от
администратора на мрежата. Например, ако от определен източник са регистрирани
опити за хакерски атаки или flooding, администраторът задава правило за отхвърляне
на всички пакети с IP адреса на този източник. Много често за подобно филтриране не
е необходим допълнителен софтуер, а е възможно то да се извърши и от
маршрутизатора (всички съвременни маршрутизатори имат такава функционалност).
Освен входящите данни могат да се блокират и изходящите. По този начин се защитава
останалият свят от локалната мрежа и могат да се забранят някои потенциално опасни
услуги и действия от даден хост Също евентуално проникнал Троянски кон няма как да
Вируси, антивируси и защитни стени
Станка Николова Христова, Магистър, Информатика
23
се свърже със стопанина си. Блокирането на данни е в основата на втория генерален
подход за реализация на защитните стени. Така по подразбиране се отхвърлят
непознатите протоколи и се осъществява по-силен контрол на трафика.
Скриване на информация за мрежата
Замяната на адресната информация осигурява анонимност на защитаваната мрежа. Така
се прикриват вътрешните мрежови характеристики от външната мрежа. Най-често се
скриват DNS, FINGER и други протоколи. Чрез тях би могла да бъде получена
вътрешно мрежова информация, чрез която по-нататъшното проникване в мрежата ще
бъде максимално улеснено.
Документиране на входния поток
В логовете на защитната стена обикновено се пази подробна информация за
допуснатите и отхвърлените от стената пакети, като например мрежовите адреси на
източника на пакета и дестинацията, номерата на портовете на източника и
дестинацията, типа протокол, и други. На базата на тази информация може да се прави
одит на причините за възникване на дадено събитие.
3.1.2 Допълнителни функционалности
Освен основните си функционалности, защитната стена между мрежи има и
допълнителни възможности:
филтриране на съдържанието (content filtering),
преобразуване на мрежови адреси и номера на портове (network address
translation, port address translation),
балансиране на натоварването (bandwidth shaping, QoS),
откриване на пробиви в системата (intrusion detection).
Филтриране на съдържанието
Когато се налага ограничение за достъп от вътрешни хостове до определени данни и
услуги от външната мрежа, то може да бъде реализирано, като се филтрира
съдържанието на заявките по адрес или по ключови думи. Обикновено се блокира
достъпът до сайтове с пиратско или порнографско съдържание, сайтове за електронна
поща. Блокорат се и файлове с някои раширения - .AVI, .MP3, понякога и .exe ... и пр.
При тази функционалност на защитните стени списъкът със забранени (banned) сайтове
трябва регулярно да се обновява. При филтрирането на съдържанието може да се
избегне досадното или зловредно съдържание на pop-up рекламите, спама по
електронна поща, Java аплети, ActiveX програми, троянски коне, вируси и др.[6]
Защитната стена и преобразуване на мрежови адреси
Защитната стена се използва като инструмент за използването на NAT технологията.
Обявяването само на мрежовите адреси на защитната стена носи значително по-малък
риск, понеже стената е специализирана и силно защитена система, достъпна за
Вируси, антивируси и защитни стени
Станка Николова Христова, Магистър, Информатика
24
конфигуриране само от системния администратор, която концентрира контрола върху
достъпа до хостовете от мрежата. Преобразуването на номерата на портовете (port
address translation, PAT) е сходно с NAT. При него във всички пакети от изходящия
трафик реалният номер на порта е заменен с друг номер. Идеята е да се елиминират
външните атаки, извършвани по определен номер на порт. PAT е наложително и когато
множество защитавани хостове използват като клиенти един и същ външен мрежов
адрес на защитната стена – в този случай PAT се използва освен за защита, но и за
идентификация на връзките между многото хостове и външния сървър.
Откриване на пробиви в системата
Защитните стени придобиват тази допълнителна функционалност когато в тях се
интегрира система за откриване на пробивите (intrusion detection system, IDS). Тази
система сканира съдържанието на всички преминаващи през стената данни и е
способна да проследява хакерските атаки в развитие. Съвременните IDS типично се
състоят от множество monitoring станции, свързани към централни сървъри, които
анализират данните. Например, ако атакуващият сондира защитната стена за слаби
места през една връзка, а се опитва да ги експлоатира през друга връзка, има много
голяма вероятност IDS да разкрие източника на атаката. Недостатъкът на IDS е, че за
изпълнението му са необходими повече ресурси.
Устойчивост на срив
Често наричани high-availability, усъвършенстваните средства за устойчивост на срив
позволяват защитните стени да работят по двойки, като второто устройство стои в
готовност да поеме работата на титулярното, ако настъпи срив и то престане да
функционира. Някои от съвременните защитни стени, които поддържат този и други
механизми за устойчивост на срив, са реализирани в Cisco PIX или Nokia/Checkpoint.
3.2 Политики на защитните стени
Понякога вместо по-академичното „политики― се казва просто „настройки―.
Преди да бъде изградена защитата, трябва да се артикулира и политиката на тази
защита. Тази политика обикновено представлява документ, който специфицира правата
на достъп и ползване на ресурсите на глобалната мрежа за всеки от хостовете в
мрежата. Политиката на защитната стена е съобразена както с характера на мрежата и
външните услуги, които са необходими, така и с вътрешните ресурси, които могат да
представлява интерес за външни потребители (а много често тези ресурси са и
основният обект на хакерски действия).
Политиката на защитната стена определя коя част от трафика, преминаващ през
стената, ще бъде пропусната и коя част ще бъде блокирана и отхвърлена. Политиката
на защитната стена се състои от две независими политики: политиката на достъпа
―отвън навътре‖ (inbound access policy) и политиката на достъпа ―отвътре навън‖
(outbound access policy).
Политиката на защитната стена трябва да отговори на следните въпроси:
Вируси, антивируси и защитни стени
Станка Николова Христова, Магистър, Информатика
25
Каква информация трябва да бъде достъпна за всички вътрешни потребители?
Каква информация трябва да бъде достъпна за всички отдалечени потребители?
Кои външни ресурси трябва да бъдат достъпни за вътрешните потребители?
На какви правила трябва да се подчинява използването на електронната поща?
Какви правила трябва да се спазват за уеб-достъп?
Достъп отвън навътре
Когато целият Интернет трафик произлиза от локална мрежа, политиката на достъпа
―отвън навътре‖ е доста проста. Целият входящ трафик, който не представлява отговор
на заявка от локалната мрежа, се блокира. Чрез използването на NAT адресите на
хостовете в мрежата не се разкриват пред външния свят, което изключително
затруднява пробива им.
Ако обаче към някои ресурси в локална мрежа, трябва да има достъп отвън, трябва да
определим критерии за филтриране на този достъп. Колкото по-строги са тези
критерии, толкова по-високо гарантирана е сигурността на мрежата. В идеалния
случай, адресите на външните хостове с право на достъп до локалната мрежа са
известни и входящият трафик от другите адреси се блокира. Други критерии са
базирани на данните в TCP-хедъра на пакета, например могат да бъдат позволени само
пакетите с порт на получателя 80 – пакети за уеб-сървъра. Когато филтрирането по
адрес и протокол не е достатъчно, трябва да се направи по-обстоен модел на правилата,
който се реализира от по-сложни защитни стени като защитната стена с пакетно
филтриране и състояние или многослойната защитна стена.
Достъп отвътре навън
Тази политика определя какъв вид информация може да напуска локалната мрежа,
както и заявките към какъв тип информация следват да бъдат удовлетворени. Също
така, определя кой от хостовете и за какви цели е може да използва Интернет.
Например, уеб-достъпът може да е позволен на всички хостове, но FTP-достъпът да е
позволен само на някои. Тази политика може да има и времеви параметри: например в
една фирма mp3-файлове да могат да се свалят след 18:00, когато свърши работното
време.
3.3 Видове защитни стени
Съществуват 3 основни вида защитни стени - филтриращи маршрутизатори (filtering
routers), поддържащи връзката пакетни филтри(stateful packet filters), и приложни
щлюзове (application gateways). Повечето защитни стени прилагат съчетания от
гореспоменатите видове.
Филтриращите маршрутизатори (англ. filtering routers) разглеждат всеки пакет
отделно - т.е. не обръщат внимание на пакета като част от установена вече
връзка.
поддържащи връзката пакетни филтри(stateful packet filters ), както подстказва
името им разглеждат всеки един пакет като част от вече установената връзка
Вируси, антивируси и защитни стени
Станка Николова Христова, Магистър, Информатика
26
приложни щлюзове или проксита(англ. application gateways или application
proxies) - програми намиращи се между крайният потребител и публичната
мрежа - т.е. шлюзовете изпълняват методите вместо крайните потребители,
защитавайки ги така от външни опасности. Тези приложения имат силни
защитни свойства понеже крайните потребители никога не комуникират
директно с хостове в Интернет
3.4 Защитни стени – програми
FortKnox Personal Firewall
FortKnox Personal Firewall е защитна стена. Това е лесна за използване персонална
защитна стена, която ви позволява да защитите компютъра си от хакерски атаки,
троянски коне, шпионски софтуер и Интернет заплахи. Програмата предлага детайлна
информация за всички входящи и изходящи трансфери и връзки. Освен това, FortKnox
Personal Firewall предлага и интегрирана система за предпазване от външна намеса и
SPI технология, които ще осигурят по-добра защита на потребителя.
Програмата е с приятен интерфейс.
Вируси, антивируси и защитни стени
Станка Николова Христова, Магистър, Информатика
27
Comodo Internet Security
Comodo Internet Security съчетава в себе си Comodo Firewall Pro и Comodo Antivirus. И
така става една от най-леките и най-полезните безплатни пакети за цялостна защита.
Comodo Firewall Pro - независимо, че използва съвсем малко системни ресурси е доста
ефективна за защита от досадни реклами, изскачащи прозорци, шпионски приложения
и др. Дава напълно реална картина на IP връзките, портовете и ви помага да се
предпазите от 10 000 (и повече) зловредни приложения. Докато Comodo Antivirus е
една от малкото безплатни антивирусни програми, които разполагат с активен скенер за
максимална защита на системата.
PC Tools Firewall Plus
Вируси, антивируси и защитни стени
Станка Николова Христова, Магистър, Информатика
28
PC Tools Firewall Plus е мощна защитна стена за Вашия компютър, тя наблюдава всички
програми, които са свързани с Интернет и може да спре доста троянци,вируси,
backdoors и keyloggers, които могат да навредят или да откраднат информация. PC
Tools Firewall Plus е направена специално за хора, които не са експерти, защото
основните функции за блокиране на нежелани програми и филтриране на трафика са
оптимално настроени и включени по подразбиране.
Sunbelt Kerio Personal Firewall
Sunbelt Kerio Personal Firewall е безплатната версия на Kerio WinRoute Firewall -
защитна стена (firewall) както за домашни, така и за големи мрежи и сървъри. Това
приложение съчетава възможностите на SSL-базиран VPN сървър (опция), рутер,
интегриран ISS Orange Web Filter, VoIP, UPnP поддръжка и още много. Дори и след
изтичането на пробния период от 30 дена, програмата ще продължи да функционира в
basic режим.
Вируси, антивируси и защитни стени
Станка Николова Христова, Магистър, Информатика
29
NetworkShield Firewall
NetworkShield Firewall е защитна стена. Това е ново поколение защитна стена, която
предпазва мрежата от външни и вътрешни атаки, предоставя достъп до Интернет на
потребителите и предлага подобрени функции за контрол на трафика. Програмата
осигурява интегрирана сигурност, лесно управление, както и бърз, но сигурен достъп
до вашата мрежа.IT експерти ще бъдат в състояние да използват допълнителни
инструменти за гъвкаво конфигуриране и управление на мрежата.
Програмата е предназначена за напреднали потребители.
Източници:
1. Компютърни вируси диагностика и защита, Алекс Софт, Кен Дънам
2.http://bg.wikipedia.org/wiki/%D0%A2%D1%80%D0%BE%D1%8F%D0%B
D%D1%81%D0%BA%D0%B8_%D0%BA%D0%BE%D0%BD_%28%D0%B
A%D0%BE%D0%BC%D0%BF%D1%8E%D1%82%D1%80%D0%B8%29
3.http://bg.wikipedia.org/wiki/%D0%9A%D0%BE%D0%BC%D0%BF%D1%8
E%D1%82%D1%8A%D1%80%D0%B5%D0%BD_%D1%87%D0%B5%D1%
80%D0%B2%D0%B5%D0%B9
4.http://bg.wikipedia.org/wiki/%D0%90%D0%BD%D1%82%D0%B8%D0%B
2%D0%B8%D1%80%D1%83%D1%81%D0%B5%D0%BD_%D1%81%D0%
BE%D1%84%D1%82%D1%83%D0%B5%D1%80
Вируси, антивируси и защитни стени
Станка Николова Христова, Магистър, Информатика
30
5. http://download.idg.bg/54_antivirusni_programi/
6.http://bg.wikipedia.org/wiki/%D0%97%D0%B0%D1%89%D0%B8%D1%82
%D0%BD%D0%B0_%D1%81%D1%82%D0%B5%D0%BD%D0%B0
7. http://download.idg.bg/56_zashtitni_steni/
