На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Методы защиты от программных закладок

Признаки, выявляемые с помощью средств тестирования и диагностики, характер­ны как для компьютерных вирусов, так и для программных закладок. Например, заг­рузочные закладки успешно обнаруживаются антивирусными программами, которые сигнализируют о наличии подозрительного кода в загрузочном секторе диска. С ини­циированием статической ошибки на дисках хорошо справляется Disk Doctor, входя­щий в распространенный комплект утилит Norton Utilities. А средства проверки цело­стности данных на диске типа Adinfпозволяют успешно выявлять изменения, вносимые в файлы программными закладками. Кроме того, эффективен поиск фрагментов кода программных закладок по характерным для них последовательностям нулей и единиц (сигнатурам), а также разрешение выполнения только программ с известными сигна­турами.
Выявление внедренного кода программной закладки заключается в обнаружении признаков его присутствия в компьютерной системе. Эти признаки можно разделить на следующие два класса:
О качественно-визуальные;
обнаруживаемые средствами тестирования и диагностики.
К качественно-визуальным признакам относятся ощущения и наблюдения пользо­вателя компьютерной системы, который отмечает определенные отклонения в ее ра­боте (изменяются состав и длины файлов, старые файлы куда-то пропадают, а вместо
них появляются новые, программы начинают работать медленнее или заканчивают
работу слишком быстро, или вообще перестают запускаться).
Несмотря на то что суждение о наличии признаков этого класса кажется слишком субъективным, тем не менее, они часто свидетельствуют о наличии неполадок в ком­пьютерной системе и, в частности, о необходимости проведения дополнительных про­верок присутствия программных закладок средствами тестирования и диагностики.
Например, пользователи пакета шифрования и цифровой подписи «Криптоцентр» с некоторых пор стали замечать, что цифровая подпись под электронными документа­ми ставится слишком быстро. Исследование, про­веденное специалистами ФАПСИ, показало при­сутствие программной закладки, работа которой
основывалась на навязывании длины файла. В дру­гом случае тревогу забили пользователи пакета
шифрования и цифровой подписи «Криптон», ко­торые с удивлением отметили, что скорость шиф­рования по криптографическому алгоритму ГОСТ 28147-89 вдруг возросла более, чем в 30 раз. А в


третьем случае программная закладка обнаружила свое присутствие в программе кла­виатурного ввода тем, что пораженная ею программа перестала нормально работать.
Задача защиты от программных закладок может рассматриваться в трех принципи­ально различных вариантах:
□ не допустить внедрения программной закладки в компьютерную систему; выявить внедренную программную закладку; удалить внедренную программную закладку.
При рассмотрении этих вариантов защита от программных закладок сходна с за­щитой компьютерных систем от вирусов. Как и в случае борьбы с вирусами, задача решается с помощью средств контроля за целостностью запускаемых системных и прикладных программ, а также за целостностью информации, хранимой в компьютер­ной системе и за событиями, критическими для функционирования системы. Однако данные средства действенны только тогда, когда сами они не подвержены влиянию программных закладок, которые могут:
навязывать конечные результаты контрольных проверок;
влиять на процесс считывания информации и запуск программ, за которыми осу­ществляется контроль;
Q изменять алгоритмы функционирования средств контроля.
При этом чрезвычайно важно, чтобы включение средств контроля выполнялось до начала воздействия программной закладки либо когда контроль осуществлялся только с использованием программ управления, находящихся в ПЗУ компьютерной системы.
Интересный метод борьбы с внедрением программных закладок может быть ис­пользован в информационной банковской системе, в которой циркулируют исключи­тельно файлы-документы. Чтобы не допустить проникновения программной закладки через каналы связи, в этой системе не допускается прием никакого исполняемого кода. Для распознавания событий типа «ПОЛУЧЕН ИСПОЛНЯЕМЫЙ КОД» и «ПОЛУ­ЧЕН ФАЙЛ-ДОКУМЕНТ» применяют контроль за наличием в файле запрещенных символов: файл считается содержащим исполняемый код, если в нем присутствуют символы, которые никогда не встречаются в файлах-документах.
Конкретный способ удаления внедренной программной закладки зависит от мето­да ее внедрения в компьютерную систему. Если это программно-аппаратная то следует перепрограммировать ПЗУ компьютера. Если это загрузочная, драйвер-ная, прикладная, замаскированная закладка или закладка-имитатор, то можно заме­нить их на соответствующую загрузочную запись, драйвер, утилиту, прикладную или служебную программу, полученную от источника, заслуживающего доверия. Нако­нец, если это исполняемый программный модуль, то можно попытаться добыть его
исходный текст, убрать из него имеющиеся закладки или подозрительные фрагменты, а затем заново
Универсальным средством защиты от внедрения программных закладок является создание изолированного компьютера (Компьютер называется изолирован­ным, если выполнены следующие условия:
Q в нем установлена система BIOS, не содержащая программных закладок;
Q операционная система проверена на наличие в ней закладок;
Q достоверно установлена неизменность BIOS и операционной системы для дан­ного сеанса;


Изолированный компьютер
BIOS без программных закладок
| 2 Операционная система без
' Запуск только проверенных программ
программных закладок
Исключен доступ _ непроверенньх программ
О на компьютере не запускалось и не запуска­ется никаких иных программ, кроме уже про­шедших проверку на присутствие в них закла­док;
исключен запуск проверенных в каких-либо иных условиях, кроме перечислен­ных выше, т. е. вне изолированного компьютера.
Для определения степени изолированности компьютера может использоваться модель сту­пенчатого контроля. Суть ее заключается в сле­дующем. Сначала производится проверка, нет ли изменений в BIOS. Затем, если вСе в поряд­ке, считываются загрузочный сектор диска и драйверы операционной систрмы, кото­рые, в свою очередь, также анализируются на предмет внесения в них несанкциониро-ванныхизменений. И наконец, с помощью операционной системы запускается драйвер контроля вызовов программ, который следит за тем, чтобы в компьютере запускались только проверенные программы.
Изолированный компьютер

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика