Антивирусные средства защиты информации. Компьютерные преступления

    Надежность  работы антивируса является наиболее важным критерием, поскольку даже «абсолютный  антивирус» может оказаться бесполезным, если он будет не в состоянии довести  процесс сканирования до конца —  «повиснет» и не проверит часть дисков и файлов и, таким образом, оставит  вирус незамеченным в системе. Если же антивирус требует от пользователя специальных знаний, то он также  окажется бесполезным — большинство  пользователей просто проигнорирует  сообщения антивируса и нажмут [OK] либо [Cancel] случайным образом, в зависимости  от того, к какой кнопке ближе  находится курсор мыши в данный момент. Ну а если антивирус будет чересчур часто задавать сложные вопросы  рядовому пользователю, то, скорее всего, он (пользователь) перестанет запускать  такой антивирус или даже удалит его с диска.

    Качество  детектирования вирусов стоит следующим  пунктом по вполне естественной причине. Антивирусные программы потому и  называются антивирусными, что их прямая обязанность — ловить и лечить вирусы. Любой самый «навороченный» по своим возможностям антивирус  бесполезен, если он не в состоянии  ловить вирусы или делает это не вполне качественно. Например, если антивирус  не детектирует 100% какого-либо полиморфного вируса, то при заражении системы  этим вирусом такой антивирус  обнаружит только часть (допустим 99%) зараженных на диске файлов. Необнаруженными  останется всего 1%, но когда вирус  снова проникнет в компьютер, то антивирус опять обнаружит 99%, но уже не от всех файлов, а только от вновь зараженных. В результате жаражено на диске будет уже 1.99%. И так далее, пока все файлы  на диске не будут заражены при  полном молчании антивируса.

    Поэтому качество детектирования вирусов является вторым по важности критерием «лучшести» антивирусной программы, более важным, чем «многоплатформенность», наличие  разнообразного сервиса и т.д. Однако если при этом антивирус с высоким  качеством детектирования вирусов  вызывает большое количество «ложных  срабатываний», то его «уровень полезности»  резко падает, поскольку пользователь вынужден либо уничтожать незараженные файлы, либо самостоятельно производить  анализ подозрительных файлов, либо привыкает  к частым «ложным срабатываниям», перестает обращать внимание на сообщения  антивируса и в результате пропускает сообщение о реальном вирусе.

    «Многоплатформенность»  антивируса является следующим пунктом  в списке, поскольку только программа, рассчитанная на конкретную операционную систему, может полностью использовать функции этой системы. «Неродные» же антивирусы часто оказываются неработоспособными, а иногда даже разрушительными. Например, вирус «OneHalf» поразил компьютер  с установленными на нем Windows95 или WindowsNT. Если для расшифрования диска (данный вирус шифрует сектора диска) воспользоваться DOS-антивирусом, то результат  может оказаться плачевным: информация на диске окажется безнадежно испорченной, поскольку Windows 95/NT не позволит антивирусу пользоваться прямыми вызовами чтения/записи секторов при расшифровке секторов. Антивирус же, являющийся Windows-программой, справляется с этой задачей без  проблем.

    Возможность проверки файлов «на лету» также  является достаточно важной чертой антивируса. Моментальная и принудительная проверка приходящих на компьютер файлов и  вставляемых дискет является практически 100%-й гарантией от заражения вирусом, если, конечно, антивирус в состоянии  детектировать этот вирус. Очень  полезными являются антивирусы, способные  постоянно следить за «здоровьем»  серверов — Novell NetWare, Windows NT, а в последнее  время, после массового распространения  макро-вирусов, и за почтовыми серверами, сканируя входящую/исходящую почту. Если же в серверном варианте антивируса присутствуют возможность антивирусного  администрирования сети, то его ценность еще более возрастает.

    Следующим по важности критерием является скорость работы. Если на полную проверку компьютера требуется нескольно часов, то вряд ли большинство пользователей будут  запускать его достаточно часто. При этом медленность антивируса совсем не говорит о том, что он ловит вирусов больше и делает это лучше, чем более быстрый  антивирус. В разных антивирусах  используются различные алгоритмы  поиска вирусов, один алгоритм может  оказаться более быстрым и  качественным, другой — медленным  и менее качественным. Все зависит  от способностей и профессионализма разработчиков конкретного антивируса.

    Наличие всяческих дополнительных функций  и возможностей стоит в списке качеств антивируса на последнем  месте, поскольку очень часто  эти функции никак не сказываются  на уровне «полезности» антивируса. Однако эти дополнительные функции значительно  упрощают жизнь пользователя и, может  быть, даже подталкивают его запускать  антивирус почаще. 

     Компьютерные  преступления - это предусмотренные уголовным кодексом общественно опасные действия, в которых машинная информация является объектом преступного посягательства. В данном случае в качестве предмета или орудия преступления будет выступать машинная информация, компьютер, компьютерная система или компьютерная сеть. Компьютерные преступления условно можно разделить на две большие категории:

• преступления, связанные с вмешательством в работу компьютеров;
• преступления, использующие компьютеры как необходимые технические средства.

 

   Зарубежными специалистами разработаны различные  классификации способов совершения компьютерных преступлений. Ниже приведены  названия способов совершения подобных преступлений, соответствующих кодификатору Генерального Секретариата Интерпола. В 1991 году данный кодификатор был  интегрирован в автоматизированную систему поиска и в настоящее  время доступен НЦБ более чем 100 стран.

       Все коды, характеризующие компьютерные  преступления, имеют идентификатор,  начинающийся с буквы Q. Для  характеристики преступления могут  использоваться до пяти кодов,  расположенных в порядке убывания  значимости совершенного.

   QA - Несанкционированный доступ и  перехват 

   QAH - компьютерный абордаж 

   QAI - перехват 

   QAT - кража времени 

   QAZ - прочие виды несанкционированного  доступа и перехвата 

   QD - Изменение компьютерных данных 

   QUL - логическая бомба 

   QDT - троянский конь 

   QDV - компьютерный вирус 

   QDW - компьютерный червь 

   QDZ - прочие виды изменения данных 

   QF - Компьютерное мошенничество 

   QFC - мошенничество с банкоматами 

   QFF - компьютерная подделка 

   QFG - мошенничество с игровыми автоматами 

   QFM - манипуляции с программами ввода-вывода 

   QFP - мошенничества с платежными  средствами 

   QFT - телефонное мошенничество 

   QFZ - прочие компьютерные мошенничества 

   QR - Незаконное копирование 

   QRG - компьютерные игры 

   QRS - прочее программное обеспечение 

   QRT - топография полупроводниковых  изделий 

   QRZ - прочее незаконное копирование 

   QS - Компьютерный саботаж 

   QSH - с аппаратным обеспечением 

   QSS - с программным обеспечением 

   QSZ - прочие виды саботажа 

   QZ - Прочие компьютерные преступления 

   QZB - с использованием компьютерных  досок объявлений 

   QZE - хищение информации, составляющей  коммерческую тайну 

   QZS - передача информации конфиденциального  характера 

   QZZ - прочие компьютерные преступления 

       Кратко охарактеризуем некоторые виды компьютерных преступлений согласно приведенному кодификатору.

      Несанкционированный доступ и перехват информации (QA) включает в себя следующие виды компьютерных преступлений:  

       QAH - "Компьютерный абордаж" (хакинг - hacking): доступ в компьютер или сеть без нрава на то. Этот вид компьютерных преступлений обычно используется хакерами для проникновения в чужие информационные сети.

       QAI - перехват (interception): перехват при помощи технических средств, без права на то. Перехват информации осуществляется либо прямо через внешние коммуникационные каналы системы, либо путем непосредственного подключения к линиям периферийных устройств. При этом объектами непосредственного подслушивания являются кабельные и проводные системы, наземные микроволновые системы, системы спутниковой связи, а также специальные системы правительственной связи. К данному виду компьютерных преступлений также относится электромагнитный перехват (electromagnetic pickup). Современные технические средства позволяют получать информацию без непосредственною подключения к компьютерной системе: ее перехват осуществляется за счет излучения центрального процессора, дисплея, коммуникационных каналов, принтера и т.д. Все это можно осуществлять, находясь на достаточном удалении от объекта перехвата.

       Для характеристики методов несанкционированного  доступа и перехвата информации  используется следующая специфическая  терминология:

   "Жучок" (bugging) - характеризует установку микрофона в компьютере с целью перехвата разговоров обслуживающего персонала;

   "Откачивание данных" (data leakage) - отражает возможность сбора информации, необходимой для получения основных данных, в частности о технологии ее прохождения в системе;

   "Уборка  мусора" (scavening) - характеризует поиск данных, оставленных пользователем после работы на компьютере. Этот способ имеет две разновидности - физическую и электронную. В физическом варианте он может сводиться к осмотру мусорных корзин и сбору брошенных в них распечаток, деловой переписки и т.д. Электронный вариант требует исследования данных, оставленных в памяти машины;

   метод следования "За дураком" (piggbackiiig), характеризующий несанкционированное проникновение как в пространственные, так и в электронные закрытые зоны. Его суть состоит в следующем. Если набрать в руки различные предметы, связанные с работой на компьютере, и прохаживаться с деловым видом около запертой двери, где находится терминал, то, дождавшись законного пользователя, можно пройти в дверь помещения вместе с ним;

   метод"За хвост"(between the lines entry), используя который можно подключаться к линии связи законного пользователя и, догадавшись, когда последний заканчивает активный режим, осуществлять доступ к системе;

   метод "Неспешного выбора" (browsing). В этом случае несанкционированный доступ к базам данных и файлам законного пользователя осуществляется путем нахождения слабых мест в защите систем. Однажды обнаружив их, злоумышленник может спокойно читать и анализировать содержащуюся в системе информацию, копировать ее, возвращаться к ней по мере необходимости;

   метод "Поиск бреши" (trapdoor entry), при котором используются ошибки или неудачи в логике построения программы. Обнаруженные бреши могут эксплуатироваться неоднократно;

   метод"Люк" (trapdoor), являющийся развитием предыдущего. В найденной "бреши" программа "разрывается" и туда вставляется определенное число команд. По мере необходимости "люк" открывается, а встроенные команды автоматически осуществляют свою задачу;

   метод "Маскарад" (masquerading). В этом случае злоумышленник с использованием необходимых средств проникает в компьютерную систему, выдавая себя за законного пользователя;

   метод "Мистификация"(spoofing), который используется при случайном подключении "чужой" системы. Злоумышленник, формируя правдоподобные отклики, может поддерживать заблуждение ошибочно подключившегося пользователя в течение какого-то промежутка времени и получать некоторую полезную для него информацию, например коды пользователя.  

       QAT - кража времени:  незаконное использование  компьютерной системы  или сети с намерением  неуплаты.

       Изменение компьютерных данных (QD) включает в себя следующие  виды преступлений:

       QDL/QDT - логическая  бомба (logic bomb), троянский конь (trojan horse): изменение компьютерных данных без права на то, путем внедрения логической бомбы или троянского коня.