Ліцензування та сертифікація програмних продуктів

Таким чином, з того, що програма не пізнається детекторами як  заражена, не витікає, що вона здорова - в ній  може сидіти який-небудь  новий вірус або злегка модифікована версія старого, невідома програмам-детекторам.

Багато програм-детекторів (у тому числі і Aidstest)  не уміють виявляти зараження "невидимими" вірусами, якщо такий вірус активний в пам'яті комп'ютера. Річ у тому, що для читання диска вони використовують функції DOS,що перехоплюються вірусом, який говорить, що все добре. Правда, Aidstest  і ін. програми можуть виявити вірус шляхом проглядання оперативної пам'яті, але  проти  деяких "хитрих" вірусів це не допомагає. Отже надійний  діагноз  програми-детектори дають тільки при завантаженні DOS із захищеної від запису дискети, при цьому копія програми-детектора також повинна бути запущена з цієї дискети.

Деякі детектори, скажімо, ADinf "Діалог-Наука", уміють  ловити "невидимі" віруси, навіть коли вони активні. Для цього  вони читають  диск, не  використовуючи виклики DOS. Цей метод працює не на всіх дисководах.

Більшість програм-детекторів мають  функцію "доктора",  тобто намагаються  повернути заражені файли або  області диска в їх початковий стан. Ті файли, які не вдалося відновити, як правило, робляться непрацездатними  або віддаляються.

Більшість програм-докторів уміють "лікувати" тільки від деякого  фіксованого  набору вірусів, тому вони швидко застарівають. Але деякі програми можуть навчатися  не тільки способам виявлення, але і  способам лікування  нових  вірусів.

ПРОГРАМИ-РЕВІЗОРИ мають дві стадії роботи. Спочатку вони запам'ятовують інформацію про стан програм і системних областей дисків (завантажувального сектора і сектора з таблицею розбиття жорсткого диска).  Передбачається, що у цей момент програми і системні області дисків не заражені. Після цього за допомогою програми-ревізора можна у будь-який момент порівняти стан програм і системних областей  дисків  з початковим. Про виявлені невідповідності повідомляється користувачеві.

Щоб перевірка стану програм  і дисків проходила при кожному завантаженні операційної системи, необхідно включити команду запуску  програми-ревізора в командний файл AUTOEXEC.BAT. Це дозволяє виявити зараження комп'ютерним вірусом, коли він ще не встиг нанести великої шкоди. Більш того, та ж  програма-ревізор зможе знайти пошкоджені вірусом файли.

Багато програм-ревізорів є досить "інтелектуальними" -  вони  можуть відрізняти зміни у файлах, викликані, наприклад, переходом до нової версії  програми, від змін, що вносяться вірусом, і не  піднімають помилкової  тривоги.  Річ у тому, що віруси зазвичай змінюють файли вельми  специфічним чином і проводять однакові зміни в різних програмних файлах. Зрозуміло, що в нормальній ситуації такі зміни практично ніколи не зустрічаються, тому програма-ревізор, зафіксувавши факт таких змін, може з упевненістю  повідомити, що  вони викликані саме вірусом.    

Слід відмітити, що багато програм-ревізорів  не уміють виявляти зараження "невидимими" вірусами, якщо такий вірус активний в пам'яті комп'ютера. Але деякі  програми-ревізори, наприклад  ADinf "Діалог-Наука", все ж таки уміють це робити, не використовуючи виклики DOS для читання диска (правда, вони працюють не на всіх дисководах). На жаль, проти деяких "хитрих" вірусів все це марно.

Для перевірки того, чи  не змінився файл, деякі  програми-ревізори   перевіряють довжину файлу. Але ця перевірка недостатня - деякі віруси не  змінюють довжину заражених файлів. Надійніша перевірка - прочитати  весь  файл і обчислити його контрольну суму. Змінити файл так, щоб його контрольна сума залишилася колишньою, практично неможливо.

Останнім часом з'явилися дуже корисні гібриди ревізорів і  докторів, тобто ДОКТОРИ-РЕВІЗОРИ - програми, які не тільки виявляють  зміни у файлах і системних  областях дисків, але і можуть у  разі змін автоматично повернути їх в початковий стан. Такі програми можуть бути  більш універсальними, ніж програми-доктори, оскільки при лікуванні вони використовують заздалегідь  збережену інформацію про стан файлів і областей  дисків. Це  дозволяє  їм  виліковувати файли навіть від тих вірусів, які не були створені на момент написання програми. Але вони можуть лікувати не від всіх вірусів, а тільки від  тих, які  використовують "стандартні", відомі на момент написання програми, механізми зараження файлів.

Існують також ПРОГРАМИ-ФІЛЬТРИ, які розташовуються резидентно в оперативній пам'яті комп'ютера і перехоплюють ті звернення до  операційної системи, які використовуються вірусами для розмноження і нанесення шкоди, і повідомляють  про

них користувача. Користувач може вирішити або заборонити виконання відповідної операції.

Деякі програми-фільтри не "ловлять" підозрілі  дії, а  перевіряють  програми, що викликаються на виконання, на наявність вірусів. Це  викликає  уповільнення роботи комп'ютера.

Проте переваги використання програм-фільтрів вельми  впливове – вони дозволяють виявити багато вірусів на найранішій стадії, коли  вірус ще  не встиг розмножитися і що-небудь зіпсувати. Тим самим можна звести збитки від вірусу до мінімуму.

ПРОГРАМИ-ВАКЦИНИ, або  ІММУНІЗАТОРИ,  модифікують  програми і диски  таким чином, що це не відбивається на роботі  програм,  але той вірус,  від  якого проводиться вакцинація, вважає ці програми  або  диски вже  зараженими. Ці програми вкрай неефективні.

Захист інформації в Інтернеті

За даними CERT Coordination Center в 1995 році було зареєстровано 2421 інцидентів - зломів локальних мереж і серверів. За наслідками опиту, проведеного Computer Security Institute (CSI) серед 500 найбільш крупних організацій, компаній і університетів з 1991 число незаконних вторгнень зросло на 48.9 %, а втрати, викликані цими атаками, оцінюються в 66 млн. доларів США.

Для запобігання несанкціонованому  доступу до своїх комп'ютерів всі  корпоративні і відомчі мережі, а  також підприємства, що використовують технологію intranet, ставлять фільтри (fire-wall) між внутрішньою мережею і Internet, що фактично означає вихід з єдиного адресного простору. Ще більшу безпеку дасть відхід від протоколу TCP/IP і доступ в Internet через шлюзи.

Цей перехід можна здійснювати  одночасно з процесом побудови усесвітньої інформаційної мережі загального користування, на базі використання мережевих комп'ютерів, які за допомогою мережевої карти і кабельного модему забезпечують високошвидкісний доступ до локального Web-серверу через мережу кабельного телебачення.

Для вирішення цих і інших  питань при переході до нової архітектури 

Internet потрібно передбачити наступне:

• По-перше, ліквідовувати фізичний зв'язок між майбутньою Internet  і корпоративними і відомчими мережами, зберігши між ними лише інформаційний зв'язок через систему World Wide Web.
• По-друге, замінити маршрутизатори комутатори, виключивши обробку у вузлах IP-протоколу і замінивши його на режим трансляції кадрів Ethernet, при якому процес комутації зводиться до простій операції порівняння MAC-адресів.
• По-третє, перейти в новий єдиний адресний простір на базі фізичних адрес доступу до середовища передачі (MAC-рівень), прив'язане до географічного розташування мережі, що дозволяє в рамках 48-біт створити адреси більш ніж 64 трильйони незалежних вузлів.

Одним з найбільш поширених механізмів захисту від інтернетівських  бандитів - “хакерів” є застосування міжмережевих екранів - брандмауерів (firewalls).

Варто відзначити, що унаслідок непрофесіоналізму  адміністраторів і недоліків  деяких типів брандмауерів порядку 30% зломів здійснюється після установки захисних систем.

Захист від несанкціонованого доступу

Відомо, що алгоритми  захисту інформації (перш за все шифрування) можна реалізувати як програмним, так і апаратним методом. Розглянемо апаратні шифратори: чому вони вважаються більш надійними і такими, що забезпечують кращий захист.

Апаратний шифратор по вигляду і  по суті представляє собою звичайне комп'ютерне «залізо», найчастіше це плата розширення, що вставляється в інтерфейс ISA або PCI системної плати ПК. Бувають і інші варіанти, наприклад у вигляді USB­ ключа з криптографічними функціями, але тут розглянуто класичний варіант -  шифратор для шини PCI.

Використовувати цілу плату тільки для функцій шифрування - недозволена  розкіш, тому виробники апаратних шифраторів зазвичай прагнуть наситити їх різними додатковими можливостями, серед яких:

1. Генерація випадкових чисел.  Це потрібно перш за все для отримання криптографічних ключів. Крім того, багато алгоритмів захисту використовують їх і для інших цілей, наприклад алгоритм електронного підпису. При кожному обчисленні підпису йому необхідне нове випадкове число.

2. Контроль входу на комп'ютер. При включенні ПК пристрій  вимагає від користувача ввести персональну інформацію (наприклад, вставити дискету з ключами). Робота буде дозволена тільки після того, як пристрій пізнає пред'явлені ключі і визнає їх «своїми». B крайньому випадку доведеться розбирати системний блок і виймати звідти шифратор, щоб завантажитися (проте, як відомо, інформація на ПК теж може бути зашифрована).

3. Контроль цілісності файлів  операційної системи. Це не дозволить зловмисникові у вашу відсутність змінити які-небудь дані. Шифратор зберігає в собі список всіх важливих файлів із заздалегідь розрахованими для кожного контрольними сумами (або xеш­ значеннями), і якщо при наступному завантаженні не співпаде еталонна сума, хоча 6ы одного з них, комп'ютер буде 6лoкиpoвaн.

Плата зі всіма перерахованими можливостями називається пристроєм криптографічного захисту даних - ПКЗД.

Шифратор, що виконує контроль входу на ПК і перевіряючий цілісність операційної системи, називають також «електронним замком». Зрозуміло, що останньому не обійтись без програмного забезпечення - необхідна утиліта, за допомогою якої формуються ключі для користувачів і ведеться їх список для розпізнавання «свій/чужий». Окрім цього, потрібен засіб для вибору важливих файлів і розрахунку їх контрольних сум. Ці програми зазвичай доступні тільки адміністраторові по безпеці, який повинен заздалегідь налаштувати все ПКЗД для користувачів, а у разі виникнення проблем розбиратися в їх причинах.

Взагалі, поставивши на свій комп'ютер ПКЗД, ви будете приємно здивовані вже при наступному завантаженні: пристрій виявиться через декілька секунд після включення кнопки Power, як мінімум, повідомивши про себе і попросивши ключі. Шифратор завжди перехоплює управління при завантаженні ПK, після чого не так легко отримати його назад. ПКЗД дозволить продовжити завантаження тільки після всіх своїх перевірок. До речі, якщо IIK з якої-небудь причини не віддасть управління шифратору, той, трохи почекавши, все одно його заблокує. І це також додасть роботи адміністраторові по безпеці.

Правовий захист інформації

Під кримінально-правовими заходами боротьби з комп’ютерною злочинністю  в літературі розуміють прийняття кримінально-правових норм, якими встановлюється кримінальна відповідальність за вчинення окремих діянь у сфері використання комп’ютерної техніки. Зіткнувшись з комп’ютерною злочинністю, правоохоронні органи спочатку вели з нею боротьбу з допомогою традиційних правових норм про викрадення, привласнення, шахрайство і т.д. Однак, такий підхід виявився не зовсім вдалим, оскільки багато комп’ютерних злочинів не охоплюються складами традиційних злочинів. Невідповідність кримінологічної реальності і кримінально-правових норм вимагали розвитку останніх. Цей розвиток відбувається у двох напрямках:

1) ширше трактування традиційних  норм і їх застосування за  аналогією;

2) розробка спеціалізованих норм  про комп’ютерні злочини.

Необхідність видання законів, спеціально орієнтованих на боротьбу з комп’ютерними злочинами, досить швидко була усвідомлена в США на рівні законодавчих органів окремих штатів. На початок 70-х рр. відповідні закони були видані в шести штатах, а робота над законопроектами велася у дванадцяти інших. До 1985 р. такі акти були прийняті в 47 штатах. Наприклад, у штаті Флорида “Закон про комп’ютерні злочини” набув сили 1 січня 1978 р. і є найбільш ґрунтовним з усіх аналогічних актів інших штатів США. Згідно з даним законом конкретні види комп’ютерних злочинів розподілені на три групи:

• злочини проти інтелектуальної  власності, тобто зумисне незаконне  внесення змін, знищення або викрадення даних, програм і документації, пов’язаної з комп’ютерами;

• злочини, що завдають шкоди комп’ютерному обладнанню, тобто знищення або пошкодження комп’ютерних систем, приладів і т.д.;

• злочини проти користувачів комп’ютерів, тобто, будь-яке незаконне використання чужого комп’ютера, в тому числі  спроба обробити на ньому які-небудь дані, недопущення до користування комп’ютером особи, яка має на це право.

На думку автора, до числа комп’ютерних злочинів доцільно віднести як злочини  у сфері комп’ютерної інформації, так і злочини, які вчиняються з використанням комп’ютерних технологій.

З урахуванням специфіки соціального феномену кіберзлочинності, масштабів інформатизації і розвитку глобальної мережі Інтернет стає все менш вірогідним, що подібні злочини обмежуватимуться територією однієї держави. У процесі проведення розслідування правоохоронні органи різних держав мають співробітничати між собою, надаючи потенційно корисну інформацію один одному. В зв’язку з правовою допомогою, при розслідуванні кіберзлочинів неодмінно виникатимуть і інші проблеми. Якщо внутрішнім правом однієї з сторін не передбачені конкретні повноваження щодо пошуку доказів в електронному середовищі, така сторона буде не в змозі адекватно реагувати на прохання про надання допомоги. З цієї причини важливою умовою міжнародного співробітництва є узгодження повноважень вживати необхідних заходів для розслідування таких видів злочинів.

Нещодавно Президентом України  підписані прийняті парламентом  зміни до Концепції національної безпеки України. В Концепції  уточнюється перелік пріоритетів  національних інтересів України, де визначаються загрози національній безпеці та інтересам України, серед яких комп’ютерна злочинність і комп’ютерний тероризм належать до числа пріоритетних.