Применение антивирусной защиты в информационных системах

Адрес

http://shabronov_s2.dyn-dns.ru/temp/nkpsis/tema_mdk03_tc33/lek8/ инд: 2-124-3-8 Примеры

Типовые удаленные сетевые атаки и их характеристика.

Исследования и анализ информационной безопасности различных распределенных ВС, проводимые авторами в течение последних лет, наглядно продемонстрировали тот факт, что, независимо от используемых сетевых протоколов, топологии, инфраструктуры исследуемых распределенных ВС, механизмы реализации удаленных воздействий на РВС инвариантны по отношению к особенностям конкретной системы.

Это объясняется тем, что распределенные ВС проектируются на основе одних и тех же принципов, а, следовательно, имеют практически одинаковые проблемы безопасности;

Поэтому оказывается, что причины успеха удаленных атак на различные РВС одинаковы. Таким образом, появляется возможность ввести понятие типовой удаленной атаки.

Типовая удаленная атака- это удаленное информационное разрушающее воздействие, программно осуществляемое по каналам связи и характерное для любой распределенной ВС.

Введение этого понятия в совокупности с описанием механизмов реализации типовых УА позволяет предложить методику исследования безопасности, инвариантную по отношению к виду распределенной ВС.

Методика заключается в последовательном осуществлении всех типовых удаленных воздействий в соответствии с предложенным далее их описанием и характеристиками.

При этом основным элементом исследования безопасности РВС является анализ сетевого трафика.

Как пояснение последнего утверждения рассмотрим следующую аналогию:

отладчик - основное средство для хакера, соответственно анализатор сетевого трафика - основное средство для сетевого хакера.

Анализатор сетевого трафика по своей сути является сетевым отладчиком. Итак, в качестве методики исследования информационной безопасности распределенной ВС предлагается выполнение ряда тестовых задач, оценивающих защищенность системы по отношению к типовым удаленным воздействиям.

Рассмотрим в следующих пунктах типовые удаленные атаки и механизмы их реализации.

Анализ сетевого трафика

Подмена доверенного объекта или субъекта распределенной ВС

Ложный объект распределенной ВС

Внедрение в распределенную ВС ложного объекта путем навязывания ложного маршрута

Внедрение в распределенную ВС ложного объекта путем использования недостатков алгоритмов удаленного поиска

Использование ложного объекта для организации удаленной атаки на распределенную ВС
Селекция потока информации и сохранение ее на ложном объекте РВС
Модификация информации
Подмена информации
Отказ в обслуживании

Компьютерные вирусы и защита от них.

Компьютерный вирус - это специально написанная небольшая по размерам программа, которая может "приписывать" себя к другим программам (т.е. "заражать" их),а также выполнять различные нежелательные действия на компьютере. Программа, внутри которой находится вирус, называется "зараженной". Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и "заражает" другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов на диске, "засоряет" оперативную память и т.д.). Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а, скажем, при выполнении определенных условий. После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и она работает также, как обычно. Тем самым внешне работа зараженной программы выглядит так же, как и незараженной.

Антивирусные программы и комплексы.

Построение систем антивирусной защиты телекоммуникационных систем и сетей.

1 этап. Проведение анализа объекта защиты и определение основных принципов обеспечения антивирусной безопасности
2 этап. Разработка политики антивирусной безопасности
3 этап. Разработка плана обеспечения антивирусной безопасности
4 этап. Реализация плана антивирусной безопасности

Приведем пример проверки файлов в режиме =on-line= представлено на рисунке gif

Исследуется файл oparyshi_v2.exe (скачать).

Файл представляет собой имитационную модель, подготовлена автором лекции, не содержит никаких действий связанных с «вирусностью» или «вредоносностью». Исходный код текста и компилятор текста присутствует в описании работающей программы.

Однако, данный файл некоторыми антивирусными программами фиксируется как «подобный вирусу».

После проверки выявлено, что три антивирусных программы нашли «вирус». Но сообщают, что же они нашли очень «туманно» и «не конкретно». Т.е. это типичный пример «вирусной паранои».

Что нашли, не сообщается - но на всякий случай, лучше удалить.

Таким образом - ни одна антивирусная программа не гарантирует 100% защиты, но гарантирует беспокойство и «тревогу» даже в случае безвредных или ранее использованных и полностью проверенных программ.

Практическое задание -4 (пз-4) « Проверка файлов off-line и on-line»

Установить на ВМ (виртуальную машину) пз1- антивирус dr.WEB утилиту бесплатного лечения (скачать)
Провести проверку пользователя Администратор ВМ (т.е. с Вашим электронным адресом) утилитой бесплатного лечения.

Оценка

на =3 - провести проверку и показать скан результата на ВМ для dr.WEB
на =4 - дополнительно выполнить проверку и на другом любом антивирусе по Вашему выбору. Например, антивирус выбрать из VirusTotal
на =5 - найти программу в Интернете, содержащую вирусный код. Скопировать ее на ВМ. Показать в отчете скан лечения антивирусной программой программы с вирусом.

Электронные источники:

Примечание.

В оформлении использовать файл логов от антивирусной программы. Отображать путь проверки и проверяемые файлы. Если их много то выборочно где сообщается об возможной угрозе.
Программа для проверки должна быть отображена в скане отчета.

Подготовил Шабронов А.А. тс +7-913-905-8839 shabronov@ngs.ru

Ред.2018-10-14 Ред.2020-10-17 Ред.2021-2-25(доб.AVZ-test) Ред.2021-10-20(примеч)