Уязвимости системы безопасности и методы обнаружения вредоносного ПО: применение шпионской программы NeoSpy, принципа минимальных привилегий и прочего

Как только доступ в интернет-пространство получил широкое распространение, начали появляться вирусы, предназначенные для внедрения на персональные компьютеры. При этом заражая исполняемые загрузочные секторы дискет. Добавив несколько строчек в машинный код, вирус самостоятельно внедрял себя в систему автозапуска. Первые компьютерные вирусы были созданы для Apple II и Macintosh. Однако, после распространения ПК IBM и системы MS-DOS данный тип вредоносных программ внедрился и в них.
 
Первые черви, иные инфекционные программы были написаны не для персональных компьютеров, как принято считать, а для многозадачных Unix систем. Первый известный червь, названный Internet Worm 1988, сумел распространится на SunOS и в системах VAX BSD. В отличии от вируса, этот червь не присоединял себя к другим программным продуктам, пытаясь скрыться. Вместо этого, он эксплуатировал дыры в безопасности сетевых серверов и активизировал себя как отдельный процесс. Современные черви точно также внедряются и распространяются.
 
С появлением платформы Microsoft Windows в 1990-х годах и созданием гибкой системы макросов стало возможным написание инфекционных кодов на макроязыке Microsoft Word и иных подобных программах. Эти макровирусы способны заражать документы и шаблоны, а не исполняемые приложения.

 
Современные черви зачастую создаются для ОС Windows, хотя некоторые (такие как Mare-D и червь L10N) - для Linux и Unix. Черви современности работают по алогичному принципу что и их прародитель - Internet Worm 1988 - они сканируют сеть и используют уязвимости в системе безопасности. Т.к. они не нуждаются в человеческом вмешательстве, черви могут распространятся с невероятной скоростью. SQL Slammer, например, смог инфицировать тысячи компьютеров в течении нескольких минут в 2003 году.
 
В отличии от несанкционированного и вредоносного ПО, имеются санкционированные - программы шпионы (NeoSpy и другие), которые применяя некоторые методы сокрытия своей деятельности не вредят компьютерной системе пользователей, а лишь скрытно мониторят изменения в системе.
 
Уязвимости системы безопасности

• В этом контексте и в рамках системы под "атакой" можно понимать все что угодно, начиная от одного отдельного приложения, заканчивая компьютером, операционной системой и интернет-сетью.
• Различные факторы делают систему более уязвимой для вредоносных программ, а именно: дефекты ПО, ошибки пользователя, привилегированные коды, либо применение одинаковой ОС.

 
Дефекты в области безопасности ПО
Вредоносные программы используют дефекты в области безопасности (ошибки безопасности и ее уязвимости), ОС, приложений (таких как браузеры, например, старые версии Microsoft Internet Explorer поддерживаемые Windows XP), либо уязвимые версии плагинов для браузеров, таких как Adobe Flash Player, Adobe Acrobat для чтения, Java. Порой даже установка новых версий таких плагинов автоматически не удаляет старые, зараженные версии. Всем известным уязвимостям присвоены особые идентификаторы CVE. Также они перечислены в Национальной базе данных уязвимостей в США.
 

Secunia PSI является примером программного обеспечения, распространяемого бесплатно для личного пользования, которое способно проверить компьютер на общую уязвимость. Еще один метод защиты собственной системы от скрытного взлома и внедрения вредоносного, несанкционированного ПО - это использование шпиона. Программа шпион NeoSpy позволяет мониторить деятельность пользователя и своевременно выявлять внедрение в систему вредоносных вирусов, червей, либо троянов.
 
Для внедрения вредоносных программ их авторы используют ошибки, лазейки пользовательской системы. Распространенным методом внедрения является применение уязвимости переполнения буфера обмена, когда программное обеспечение, предназначенное для хранения данных в указанной области памяти, не может больше сохранять данные. Вредоносные программы могут предоставлять файлы, которые переполняют буфер обмена. В результате, в пользовательской системе начинают происходить ошибки сохранения данных и, впоследствии, происходит крах системы.
 
Небезопасные конструкции или ошибки пользователей
Первые ПК загружались с дискет. Современные же операционные системы загружаются через жесткие диски, дискеты и CD-ROM, DVD-ROM, USB. Вредоносные распространители программного обеспечения, чтобы обмануть пользователей, предлагают для загрузки замаскированные программы, инфицированные вирусами. Например, вирус может распространятся, как средство лечения компьютера. При этом, данная программа способна добавить некоторую информацию в код autorunnable USB-носителей. В результате, зараженная флешка передает вирус любому электронному устройству (гаджету, колонкам и игрушкам, цифровым микроскопам и пр.), которое было подключено к ней. Диски могут быть заражены в процессе производства, поставки, если контроль качества был недостаточным.
 
Данный вариант заражения можно избежать путем запуска компьютера с внутреннего жесткого диска, при этом преднамеренную загрузку с иного устройства можно всегда остановить нажатием определенных клавиш. Однако, это не обезопасит вас от иных программных продуктов, загруженных с дисков, либо интернет-пространства, которые могут таить в себе вирусы.
 
Заметим, что программа шпион NeoSpy, обладая эффективной системой отслеживания всех измененных файлов в компьютерной системе пользователя позволяет быстро определить наличие постороннего вредоносного продукта в системе.
 
Принцип минимальных привилегий
Принцип наименьших привилегий требует, чтобы в вычислительной среде каждый модуль (например: процесс, пользователь или программа) мог получить доступ только к заранее определенной информации и ресурсам. То есть данный принцип позволяет ограничивать деятельность пользователей. Например, можно ограничить использование функции резервного копирования, либо установки нового программного обеспечения.
 
Принцип минимальных привилегий - это основной метод повышения уровня защиты данных от несанкционированного внедрения вредоносных программ. Также чрезмерное разрешение доступа может привести к быстрому внедрению вируса и краху системы.
 
Некоторые системы позволяют всем пользователям изменять свои внутренние структуры. Это было возможно и для ранних микрокомпьютеров, пользовательских компьютерных систем, где не было никакого различия между администратором и обычным пользователем.
 
Некоторые ОС позволяют изменять исполняемые коды пользователям. Как следствие, возможность предоставления всех прав доступа и большая вероятность заражения, быстрого внедрения вредоносного ПО в компьютер. Почти все современные ОС предоставляют слишком много прав и привилегий пользователям и открывают путь вредоносному программному обеспечению.
 
Применение той же операционной системы
Например, когда все компьютеры в сети используют одну и туже операционную систему. В этом случае, при заражении системы червем, он может быстро распространится в системе и причинить намного больше проблем, чем тогда, когда применялись бы отдельные системы. Наиболее уязвимыми являются следующие операционные системы: Microsoft Windows и Mac OS X. Помимо этого, внедрение нескольких различных операционных систем способствует высокой надежности и уменьшает затраты на обслуживание.