И РЕМОНТ АВТОМОБИЛЬНОГО ТРАНСПОРТА
Руководитель проекта, преподаватель: Попова Нина Юрьевна
___________________________________ (подпись)
«_____» ____________________20____г.
г. Светлый
2020 г.
Индивидуальная исследовательская работа по информатике на тему «Информационная безопасность»
Проектная работа посвящена изучению признаков заражения компьютерных систем, рассматривает антивирусное ПО, изучает историю антивирусов, приводит классификацию антивирусных программ, описывает методы защиты от вирусов и даются рекомендации пользователям по безопасному использованию.
План работы.
1. Данные об ущербе от кибератак.
2. Анализ полученных данных.
3. Виды информационных атак.
4. Вредоносное ПО.
4.1. Вирусы:
Ø История вирусов
Ø Типы вирусов
4.2. Сетевые черви.
Ø Червь Морриса
Ø Типы заражения.
4.3. Признаки заражения.
Антивирусное ПО:
Ø История антивирусов Классификация антивирусных программ
Ø Методы защиты от вирусов
5. Рекомендации пользователям.
Заключение.
Список литературы.
Вступление!
Широкое распространение вычислительной техники как средства обработки информации привело к информатизации общества и появлению принципиально новых информационных технологий. Сейчас благополучие и безопасность общества зависят от правильного использования информации, её защиты и конфиденциальности.
Под информационной безопасностью понимается защищенность информационной системы от случайного или преднамеренного вмешательства, наносящего ущерб владельцам или пользователям информации.
Использование компьютеров и интернета привело к непрерывной передаче данных с разных частей света. Люди прибегли к использованию интернета, как способу хранения, передачи и систематизации информации из-за следующих аспектов: доступность, целостность, конфиденциальность.
Современная информационная система представляет собой сложную структуру, которая состоит из огромного числа компонентов различной степени автономности. Они связаны между собой и обмениваются данными.
Практически любой из этих компонентов может подвергнуться внешнему воздействию или выйти из строя.
Компоненты автоматизированной информационной системы можно разбить на следующие группы:
• программное обеспечение;
• панные хранимые на магнитных носителях(Винчестеры, дискеты, флешки, и т.д.);
• персонал работающий с компьютерами;
• аппаратура (компьютеры, сервера, процессоры, мониторы, и т.д.).
Данные об ущербе от кибератак!
Согласно результатам исследования, каждую секунду 18 пользователей старше восемнадцати лет становятся жертвами киберпреступности, ежедневно это более полутора миллионов жертв киберпреступности в мире. Средний ущерб от кибератаки на одного среднестатистического пользователя составляет $197. Цель работы- определить общую осведомленность пользователей о киберугрозах в сети, наиболее популярные типы кибератак, а также влияние новых технологий на информационную безопасность пользователей.
Таким образом можно прийти к выводу, что проблема компьютерной грамотности и онлайн - безопасности является довольно актуальной. Ведь большинство пользователей не прибегают к мерам предостороженности пока их устройства не начнут тормозить или сломаются. А общий ущерб от киберпреступности велик и продолжает расти по сей день.
Проблема защиты ресурсов информационно-коммуникационных систем и сетей (ИКСМ), становится еще более актуальной в связи с развитием и распространением глобальных вычислительных сетей, территориально распределенных информационных комплексов и систем с удаленным управлением доступом к информационным ресурсам.
Весомым аргументом для повышения внимания к вопросам безопасности ИКСМ является бурное развитие программно-аппаратных методов и средств, способных скрытно существовать в системе и осуществлять потенциально любые несанкционированные действия (процессы), что препятствует нормальной работе пользователя и самой системы и непосредственно наносит вред свойствам информации (конфиденциальности, доступности, целостности).
Несмотря на разработку специальных программно-аппаратных средств защиты от воздействия угроз информационным ресурсам автоматизированных систем, количество новых методов реализации атак постоянно растет. Указанный влияние может быть реализовано технически или организационно, только в том случае, когда известна информация о принципах функционирования ИКСМ, ее структуру, программное обеспечение и т.д.
В настоящее время существует несколько классических определений понятия "атака" (вторжение, нападение) на информационную систему и ее ресурсы. Данный срок может определяться, как процедура вторжения, что приводит к нарушению политики безопасности или действие (процесс), что приводит к нарушению целостности, конфиденциальности и доступности информации системы. Однако, более распространенная трактовка, непосредственно связано с термином «уязвимость », или «возможность реализации угрозы ».
Под атакой (attack, intrusion) на информационную систему, будем понимать действия (процессы) или последовательность связанных между собой действий нарушителя, которые приводят к реализации угроз информационным ресурсам ИКСМ, путем использования уязвимостей этой информационной системы.
Базовыми причинами нарушения функционирования информационной системы является сбои и отказы в работе информационной системы, которые частично или полностью препятствуют функционированию ИКСМ, возможностям доступа к информационным ресурсам и услугам системы. Кроме того, сбои и отказы в работе является одной из основных причин потери данных.
Существуют различные методы классификации атак. Например, деление на пассивные и активные, внешние и внутренние атаки, умышленные и неумышленные.
Однако, в данной статье, приведем более характерные типы атак на информационные системы и проведем их краткое описание реализации и определим характерные признаки:
v Удаленное проникновение (remote penetration). Тип информационных атак, которые позволяют реализовать удаленное управление компьютером пользователя информационных ресурсов системы по сети на базе удаленного доступа. Примером такой программы является NetBus или BackOrifice.
v Локальное проникновение (local penetration). Атака, приводящая к получению несанкционированного доступа к узлу ИКСМ, на котором она запущена. Примером такой программы является GetAdmin.
Удаленная отказ в обслуживании (remote denial of service). Атаки, которые позволяют нарушить функционирование информационной системы по условиям реализации ее услуг или имеют возможность котрольованного перезагрузки системы путем удаленного доступа. Примером такой атаки является Teardrop или trin00.
v Локальная отказ в обслуживании (local denial of service). Атаки, позволяющие нарушить функционирование системы или перезагрузить систему, на которой они реализуются. В качестве примера такой атаки, можно привести использование несанкционированных апплетов, которые загружают центральный процессор бесконечным циклом, что делает невозможным обработку запросов других приложений.
v Сетевые сканеры (network scanners). Программы, которые анализируют топологию сети и обнаруживают сервисы, доступные для атаки. Примером такой программы можно назвать систему nmap.
Сканеры уязвимостей (vulnerability scanners). Программы, осуществляющие поиск уязвимостей на узлах сети, могут быть использованы для реализации атак.Примеры: система SATAN или Shadow Security Scanner.
v Взломщики паролей (password crackers). Программы, которые подбирают пароли авторизованных пользователей информационных ресурсов системы и ее услуг. Примером взломщика паролей может служить несанкционированное программное обеспечение: L0phtCrack для Windows или Crack для Unix.
v Анализаторы протоколов (sniffers). Программы, которые "прослушивают" сетевой трафик. С помощью этих программ можно автоматически найти такую информацию, как идентификаторы и пароли пользователей, информацию о кредитных картах и т.д.Анализатором протоколов можно назвать программные продукты: Microsoft Network Monitor, NetXRay компании Network Associates или LanExplorer.
Сетевые черви
Сетевой червь — разновидность вредоносной программы, самостоятельно распространяющейся через локальные и глобальные (Интернет) компьютерные сети.
Механизмы распространения
· в виде файла, отправленного во вложении в электронном письме
· в виде ссылки на интернет - или FTP-ресурс
· в виде ссылки, переданной через сообщение ICQ или IR
· через пиринговые сети обмена данными P2P (peer-to-peer)
· некоторые черви распространяются как сетевые пакеты. Они проникают прямо в компьютерную память, затем активируется код червя.
Все механизмы («векторы атаки») распространения червей делятся на две большие группы:
· Использование уязвимостей и ошибок администрирования в программном обеспечении, установленном на компьютере. Например, вредоносная программа Conficker для своего распространения использовала уязвимость в операционной системе Windows; червь Морриса подбирал пароль по словарю. Такие черви способны распространяться автономно, выбирая и атакуя компьютеры в полностью автоматическом режиме.
· Используя средства так называемой социальной инженерии, провоцируется запуск вредоносной программы самим пользователем. Чтобы убедить пользователя в том, что файл безопасен, могут подключаться недостатки пользовательского интерфейса программы — например, червь VBS.LoveLetter использовал тот факт, что Outlook Express скрывает расширения файлов. Данный метод широко применяется в спам-рассылках, социальных сетях и т. д.
Иногда встречаются черви с целым набором различных векторов распространения, стратегий выбора жертвы, и даже эксплойтов под различные операционные системы.
Скорость распространения
Скорость распространения сетевого червя зависит от многих факторов: от топологии сети, алгоритма поиска уязвимых компьютеров, средней скорости создания новых копий. Для сетевых червей, распространяющихся по сети путём непосредственного использования протоколов TCP/IP, то есть, с любого IP-адреса на любой другой, характерно стремительное распространение.
При условии, что каждый экземпляр червя достоверно знает адрес ранее незараженного узла сети, возможно экспоненциальное размножение. Например, если каждый экземпляр заражает один компьютер в секунду, все адресное пространство IPv4 будет заполнено червем за полминуты.
Гипотетический червь, который был бы способен распространяться с такой скоростью, получил наименование "блицкриг-червя". Исследователем Н.Уивером из университета Беркли рассмотрены несложные суботптимальные алгоритмы, которые могли бы позволить червю, размножаясь несколько медленнее, тем не менее заразить Интернет за 15 минут. Червь такого типа получил наименование "червь Уорхола" - в честь Энди Уорхола, автора изречения: "в будущем каждый получит шанс на 15 минут славы". Эпидемия червя SQL Slammer, заразившего в 2003 г. более 75000 серверов за 10 минут, была близка к этой модели распространения.
Червь Морриса
«Червь Морриса» был первым в истории развития вычислительной техники образцом вредоносного программного обеспечения, который использовал механизмы автоматического распространения по сети. Для этого использовалось несколько уязвимостей сетевых сервисов, а так же некоторые слабые места компьютерных систем, обусловленные недостаточным вниманием к вопросам безопасности в то время.
По словам Роберта Морриса, червь был создан в исследовательских целях. Его код не содержал в себе никакой «полезной» нагрузки (деструктивных функций). Тем не менее, из-за допущенных ошибок в алгоритмах работы, распространение червя спровоцировало так называемый «отказ в обслуживании», когда ЭВМ были заняты выполнением многочисленных копий червя и переставали реагировать на команды операторов.
«Червь Морриса» практически парализовал работу компьютеров в сети ARPANET на срок до пяти суток. Оценка простоя — минимум 8 миллионов часов и свыше 1 миллиона часов временных затрат на восстановление работоспособности систем. Общие убытки в денежном эквиваленте оценивались в 98 миллионов долларов, они складывались их прямых и косвенных потерь
Структурно червь состоял из трех частей — «головы» и двух «хвостов». «Голова» представляла собой исходный текст на языке C (99 строк) и компилировалась непосредственно на удаленной машине. «Хвосты»
Типы заражения червей
Червь мессенджера. Он распространяется в популярных программах, созданных для общения, таких как ICQ или Skype. Контакт-листы получают сообщение, содержащее ссылку на файл с копией червя, который активируется после загрузки и запуска зараженного файла.
Почтовый червь. Проникает на компьютер посредством почтовой рассылки. Обычно это письмо, содержащее ссылку на файл или сам зараженный файл. После того, как вы или запустите прикрепленный файл, или перейдете по ссылке и скачаете его, червь начинает свою вредоносную деятельность. Затем он ищет другие почтовые адреса и начинает производить рассылку зараженных писем уже по ним.
Сетевой червь. Распространяется главным образом через компьютерные сети. От других типов червей такой отличается тем, что ищет в локальной сети устройства, которые используют уязвимые программы. После обнаружения таковых, он посылает в сеть сформированный пакет, который содержит или весь код червя, или его часть. Если в сети есть незащищенная машина, то она принимает этот пакет и заражается. Проникнув в компьютер, червь копирует недостающую часть своего кода и становится полностью активен.
Червь чата. Для распространения он использует интернет-чаты – системы для общения между собой в реальном времени. Такой червь публикует в чате ссылку на файл со своей копией, либо же сам файл. Заражение происходит после скачивания файла.
Червь файлообменника. Для внедрения в файлообменную сеть, червь должен скопировать себя в каталог файлов на компьютере пользователя. Сеть файлообменника отображает всю информацию о данном файле, поэтому пользователь легко может найти его в системе, загрузить и открыть, после чего заражение неминуемо. Более продвинутые и сложные типы червей могут имитировать сетевой протокол определенной сети – они также положительно реагируют на запросы и предлагают зараженные файлы для загрузки.
Другие черви. Сюда можно отнести вредоносное ПО, которое способно распространяться через сетевые ресурсы. Оно может использовать функции операционной системы для поиска доступных сетевых папок, после чего подключается к устройствам в глобальной сети.
Признаки заражения
v Автоматическое открытие окон с незнакомым содержимым при запуске компьютера;
v Появление новых неизвестных процессов в выводе диспетчера задач (например, окне «Процессы» диспетчера задач Windows);
v Появление в ветках реестра, отвечающих за автозапуск, новых записей;
v Запрет на изменение настроек компьютера в учётной записи администратора;
v Невозможность запустить исполняемый файл (выдаётся сообщение об ошибке);
v Появление всплывающих окон или системных сообщений с непривычным текстом, в том числе содержащих неизвестные веб-адреса и названия;
v Перезапуск компьютера во время старта какой-либо программы;
v Случайное и/или беспорядочное отключение компьютера;
v Случайное аварийное завершение программ;
v Снижение производительности при достаточном объёме памяти, вплоть до «зависаний» вкупе с аномальным перегреванием системного блока;
v Появление неизвестных файлов и каталогов в файловой системе ОС, которые обычно выдают ошибку удаления;
v Шифрование или повреждение пользовательских файлов;
v Неизвестные изменения в содержимом системных файлов при открытии их в текстовом редакторе;
История антивирусов
Первый антивирус в современном понимании этого термина, то есть резидентный, «защищающий» от вирусных атак, появился в 1985 году. Программа DRPROTECT создана усилиями Джи Вонг (Gee Wong). Разработка блокировала все операции (запись, форматирование), выполняемые через BIOS. В случае выявления такой операции программа требовала рестарта системы.
Антивирусные программы до начала 90-х годов представляли собой, по сути, набор из нескольких десятков сигнатур (образцов вирусного кода), которые хранились в теле программы. Предполагалась также процедура поиска этих сигнатур в файлах. Причем зачастую эти сигнатуры разработчики даже не шифровали. Получалось так, что порой один антивирус легко мог «найти вирус» в другом. Усложнение ситуации с вирусами повлекло за собой и усложнение программ, которые были призваны бороться с ними. Как это обычно бывает, совсем скоро инициатива по разработке и впоследствии продаже антивирусных программ перешла к большим компаниям, состоящим, естественно, более чем из одного программиста-энтузиаста. С гордостью стоит отметить, что в развитии этой индустрии одну из ведущих ролей сыграли программисты из России.
В 1992 году появилась программа MtE — генератор полиморфного (постоянно меняющегося) кода, которым мог воспользоваться не только опытный, но и любой начинающий программист. Полиморфные вирусы стали появляться каждый день, а всевозможные дополнительные способы борьбы, такие как усложнение алгоритмических языков сверки кода, — перестали работать. Спасло ситуацию только появление эмулятора кода. Система «снимала » зашифрованную часть полиморфного вируса и добиралась до постоянного тела вируса. Первой антивирусной программой с эмулятором стал AVP Евгения Касперского.
Помимо эмулятора кода, позволившего антивирусам подстроиться под стремительно набиравшую обороты «индустрию вирусов.
Классификация антивирусных программ
Антивирусные программы разделяются по признаку размещения в оперативной памяти:
v резидентные (начинают свою работу при запуске операционной системы, постоянно находятся в памяти компьютера и осуществляют автоматическую проверку файлов);
v нерезидентные (запускаются по требованию пользователя или в соответствии с заданным для них расписанием).
По виду (способу) защиты от вирусов различают:
1. Программы-детекторы, находят вирусы в оперативной памяти, на внутренних и(или) внешних носителях, выводя сообщение при обнаружении вируса.
2. Программы-доктора, (находят зараженные файлы и «лечат» их. Среди этого вида программ существуют полифаги, которые способны удалять разнообразные виды вирусов, самые известные из антивирусов-полифагов Norton AntiVirus, Doctor Web, Kaspersky Antivirus.
3. Программы-вакцины выполняют иммунизацию системы (файлов, каталогов) блокируя действие вирусов.
4. Программы-ревизоры являются наиболее надежными в плане защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов, системных областей диска до момента инфицирования компьютера (как правило, на основе подсчета контрольных сумм), затем сравнивают текущее состояние с первоначальным, выводя найденные изменения на дисплей.
5. Программы-мониторы начинают свою работу при запуске операционной системы, постоянно находятся в памяти компьютера и осуществляют автоматическую проверку файлов по принципу «здесь и сейчас».
6. Программы-фильтры (сторожа) обнаруживают вирус на ранней стадии, пока он не начал размножаться.Резидентные программы, целью которых является обнаружение действий, характерных для вирусов.