На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Антивирусная защита

Сразу оговоримся, что задача антивирусной защиты — это весьма само­стоятельная задача в области защиты информации. Поэтому в данной книге мы не будем проводить сколько-нибудь серьезного исследования пробле­мы. Вместе с тем, кратко покажем, какие существенные возможности ан­тивирусного противодействия предоставляют рассмотренные нами расши­ренные возможности механизмов управления доступом к ресурсам.
Общепринятый подход к антивирусной защите и его недостатки
Отметим, что доминирующим на сегодняшний день подходом к антиви­русной защите является создание средств выявления вирусов по опреде­ленным признакам с последующим их удалением из системы. Такому подходу присущи два принципиальных недостатка:
» Чтобы выявить вирус в системе, необходимо однозначно определить его классификационные признаки, в частности определить сигнатуру. Други­ми словами, выявление вируса и, соответственно, осуществление антиви­русного противодействие возможно только после его «опубликования»,
т.е. уже после осуществления вирусной атаки. С учетом необходимого времени на определение формализованных признаков вируса, а также на
обновление вирусных баз, противодействие вирусу в общем случае осуще­ствляется уже после нанесения ущерба вирусной атакой. При этом заме­тим, что эти базы, как правило, обновляются синхронно, т.е. их обновле­ние по умолчанию задается временным интервалом. » Так как интенсивность появления новых вирусов сегодня весьма вы­сока, с большой скоростью возрастают и базы данных формальных
признаков вирусов. Это, в свою очередь, естественно, приводит к возрастанию нагрузки антивирусных средств защиты на вычислитель­ный ресурс защищаемого компьютера.
Таким образом, можем сделать вывод относительно того, что широко используемый на сегодняшний день подход к антивирусной защите трудно признать сколько-нибудь оправданным. При этом основными проблемами
его применения является невозможность противодействия неизвестной
вирусной атаке и значительное влияние системы защиты на загрузку вы­числительного ресурса.
Ч Сколько-нибудь серьезного исследования влияния данных механизмов на %М\ производительность вычислительной системы автором не проводилось. Од-
нако из практического опыта использования антивирусных средств можно заключить, что данное влияние заметно даже «на глаз», т.е. речь идет не об единицах процентов.
Использование расширенных возможностей механизмов управления доступом к ресурсам в решении задач антивирусного противодействия
Чтобы рассмотреть возможность использования в системах антивирусной защиты рассмотренных выше методов защиты информации от НСД, преж­де всего, попытаемся сформулировать основную цель вирусной атаки (не способ, их может быть множество). Естественно, что основной целью является удаленное -- без непосредственного контакта с защищаемым
компьютером -- совершение какого-либо действия. Но действие, кото­рое можно осуществить на компьютере, напрямую связано с запуском какой-либо программы (процесса). Таким образом, в основу антивирус­ного противодействия может быть положен механизм обеспечения замк­нутости программной среды, призванный противодействовать несанкци­онированным действиям (запуску несанкционированных программ).
Как отмечалось,  попытка несанкционированно осуществить действие
(запустить программу) может быть как явной, так и скрытой.
Под явной мы понимаем внедрение на компьютер и запуск какой-либо
программы, которая может быть идентифицирована. Таким образом, если
добавочной защитой определен круг программ, которые разрешено за­пускать на компьютере, то вирусная атака, включающая все троянские и иные программы, будет полностью ликвидирована. При этом на компь­ютер данные программы смогут попадать, но не смогут быть там запу­щены. Заметим, что данный вывод делаем в предположении корректной реализации соответствующей модели управления доступом. В рамках этой
Общие положения. Анализ современных ОС
на предмет противостояния вирусным атакам
модели должны быть реализованы: защита доступа к системному диску, возможность задания разграничений для системных процессов и процес­сов, запускаемых с правами «root» и т.д., т.е. при управлении доступом к ресурсам должна быть реализована возможность разграничить права до­ступа для субъекта процесс.
Скрытые угрозы связаны с желанием разработчиков (прежде всего это
относится к Microsoft) добиться максимальной универсальности и откры­тости технологий. Это приводит к реализации приложений с собствен­ным встроенным в приложение интерпретатором команд, т.е. приложе­ний, имеющих свои собственные средства программирования.
Усложнение задачи обеспечения замкнутости программной среды здесь состоит в том, что в качестве контролируемого процесса идентифициру­ется собственно приложение (интерпретатор команд). При этом скрыто все то, что непосредственно запрограммировано и выполняется при за­пуске интерпретатора. Самый распространенный пример — макросы в офисных приложениях.
Откажись разработчики приложений от возможности создания макросов,
или обеспечь возможность идентификации макроса, по крайней мере,
выдели интерпретатор команд как отдельный процесс, и проблема анти­вирусной защиты была бы практически полностью решена механизмом обеспечения замкнутости программной среды. На сегодняшний момент можно лишь локализовать воздействия вирусов. И то это можно сделать лишь средсвами добавочной защиты.
Кроме офисных приложений для ОС Windows, это относится также к вир­туальным машинам JVM, также являющимся интерпретаторами команд, например, виртуальная машина JAVA. He пользуйтесь виртуальными ма­шинами и офисными приложениями Microsoft, и при реализации механизма
обеспечения замкнутости программной среды вы практически забудете о вирусах. Не случайно, что статистика вирусных атак на ОС семейства UNIX на порядки меньше, чем на ОС семейства Windows.
Уместным будет здесь будет высказать удивление по поводу того, что, создавая защищенные приложения (системы электронного документоо­борота, защищенную «почтовую» связь и т.д.), отечественные разработ­чики иногда используют офисные приложения Microsoft, хотя известны аналогичные приложения, не позволяющие создавать макросы, т.е. ре­шая одну проблему защиты информации, привносят тем самым другую
проблему — проблему противодействия вирусным атакам.
Вирусные атаки
Вообще говоря, на взгляд автора, куда менее затратным было бы создать офисные приложения, не подверженные вирусным атакам, чем «всем миром» бороться с макросами.
Однако будем рассматривать проблему антивирусного противодействия в общем случае -- при наличии виртуальных машин и встроенных ин­терпретаторов команд офисных приложений. В общем случае можно выделить два класса атак, реализуемых на основе их свойств:
* это атаки, целью которых является совершение каких-либо действий
(в общем случае нам неизвестных),
* атаки, реализуемые с целью распространения вируса, как внутри за­щищаемого компьютера, так и вне его — по сети.
Рассмотрим первый класс атак, которые более критичны с точки зрения НСД к информации. Успешно противодействовать данным атакам можно сред­ствами разграничения прав доступа для субъекта «процесс». При этом про­цессу, содержащему встроенные возможности программирования, например, процессу winword.exe следует разрешить доступ только к каталогам (фай­лам) данных пользователя. Тогда любая скрытая атака сможет быть прове­дена только на каталоги и файлы с данными, т.е. непосредственно компь­ютер (с системной точки зрения, а не с точки зрения данных пользователей) с использованием рассмотренных подходов может быть надежно защищен. Таким образом производится локализация области действия вируса. Атака здесь представляет собою программу, выполненную в виде макроса и со­держащуюся в документе. Эта программа запускается при чтении данного документа интерпретатором команд, в данном случае процессом winword.exe.
Защита же непосредственно данных пользователя напрямую связана с противодействием распространению вируса на защищаемом компьюте­ре. В простейшем случае, здесь можно использовать рассмотренные ме­ханизмы управления доступом. Так, если установить права доступа к пользовательским данным одновременно пользователю и процессу, то данные одного пользователя не смогут «заразить» данные другого пользо­вателя (т.е. локализация распространения вирусов осуществляется на
уровне пользователей).
Динамическое управление доступом пользователей к ресурсам
Для усиления возможности распространения вируса может
применяться модель динамического управления доступом пользователей к ресурсам из приложения. Суть этой модели состоит в следующем.
Рассмотрим работу пользователя с приложением, предназначенным для обработки данных, например с текстовым редактором, и проиллюстри­руем идею динамического управления доступом из приложения соответ­ствующим алгоритмом.
1. В исходном состоянии пользователю должен быть разрешен доступ «на чтение» ко всем своим данным (нет основания задать какие-
либо иные разграничения). Данные разграничения остаются неиз-
мсниыми до момента обращения к файловым объектам из соответ­ствующего приложения.
2. При чтении документа (файла), осуществляемого заданием пользо­вателем из соответствующего приложения полнопутевого имени файла, разграничения доступа меняются. При этом пользователю разрешается записывать файл только по данному полнопутевому имени. Ко всем остальным файлам остается разрешен доступ только «на чтение».
3. Пользователь может сохранить данные по тому же адресу (доступ ему разрешен), либо задать из приложения иной адрес сохранения (данная возможность существует и без предварительного чтения фай­лового объекта). При задании этого адреса пользователем (санкцио­нированная запись) опять же изменяются разграничения — пользо­вателю разрешается запись по задаваемому ему из приложения адресу.
4. При закрытии документа разграничения восстанавливаются в ис­ходное состояние.
Как видим, при использовании данного алгоритма обеспечивается только санкционированная запись данных, что предотвращает распространение вируса. Серьезные задачи здесь возлагаются на механизм аудита. Лю­бая попытка обратиться по запрещенному адресу должна фиксировать­ся, о чем должен оповещаться пользователь. Такую попытку можно трак­товать, как попытку распространения вируса, т.е. каждая попытка записи открытого документа под другим именем или в другое место может рас­сматриваться как подозрительная с точки зрения нахождения в доку­менте вируса.
Аналогичный подход может использоваться и с целью локализации рас­пространения вируса по сети. Например, это может применяться при ис­пользовании почтового приложения, содержащего встроенные средства программирования, в частности, программы Outlook (офисное приложе­ние Microsoft). Отличие здесь состоит в том, что динамическому разгра­ничению доступа подлежат сетевые адреса. В остальном алгоритм тот же.
Таким образом, средства динамического разграничения доступа предот­вращают несанкционированное распространение вируса, решая задачу локализации, а средства аудита позволяют выявить «зараженный» доку­мент. При этом отметим, что контролируется действие вируса, а не его потенциальное наличие в структуре документа. Таким образом, данный подход позволяет выявлять неизвестный вирус.
Однако естественно, что данный способ антивирусного противодействия
не позволяет «лечить» документ, т.к. не анализирует его структуру. По­этому данный подход может применяться как самостоятельно (в этом случае «зараженные» документы подлежат удалению), так и совместно со средствами анализа документа на наличие вируса, в качестве реакции
которых является «лечение» документа. При этом рассмотренный под­ход обеспечивает устранение принципиальных недостатков существую­щих методов антивирусной защиты. В частности он обеспечивает проти­водействие неизвестным вирусам и позволяет выявлять документы, требующие проверки, т.е. позволяет существенно снизить затраты вычис­лительных ресурсов защищаемого компьютера, связанные с антивирус­ным противодействием.
В качестве замечания отметим, что здесь рассмотрен лишь общий подход (на момент написания книги работа над созданием подобной си­стемы только начата). При этом существуют как дополнительные проблемы (например, автосохранение документа и др.), так и дополни­тельные возможности, в частности:
» возможность контроля целостности исполняемого файла; * возможность управления доступом к каталогам, не разделяемым сис­темой и приложениями и др.
Однако корректная реализация данного подхода — вопрос технический, при этом уже из приведенного описания видны его возможности и су­щественные преимущества.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика