Аналіз методів кібератак та методів протидії

Аналіз методів кібератак та методів протидії

ЗМІСТ

ВСТУП

. КІБЕРАТАКА ТА ЇЇ МЕТОДИ

.1 Аналіз галузі кібератаки

.2 Способи кібератак

. ЗАСОБИ ЗАХИСТУ ІНФОРМАЦІЇ ВІД КІБЕРАТАК

.1 Апаратні засоби захисту даних від кібератак

.2 Програмні засоби захисту даних від кібератак

.2.1 Антивірусні програми

.2.2 Міжмережевий екран

.2.3 Шифрування даних

.АЛГОРИТМ ЗАХИСТУ ВІД DOS-АТАК

.1 Розробка алгоритму        

.2 Реалізація алгоритму

ВИСНОВОК

ЛІТЕРАТУРА

ВСТУП

Кібератака - так в інтернеті називають посилений наступ різних кодів і програм на адресу певних користувачів і як результат - несе велику шкоду. Таким атакам частіше піддаються установи та організації, в результаті чого в їх діяльності можуть виникнути серйозні, довготривалі і негативні за своїми результатами наслідки.

Це можуть бути підступи злочинців (здійснюють свої шахрайські операції), терористів (переслідують певні цілі і навіть урядів держав провідних негласну війну зі своїми супротивниками). Різні організації та політичні партії таким способом можуть усувати своїх конкурентів.

Але все це, зовсім не означає, що простому інтеренет-користувачеві можна не турбуватися і розслабитися. А також думати, що він знаходиться в безпеці і до нього це не відноситься. Кібератаці може піддатися комп’ютер будь-якої людини, що має доступ в інтернет. Тому знати ознаки і елементарні способи захисту від зараження різними шкідливими програмами, повинен кожен.

Тому тему для дипломної роботи я вибрав «Аналіз методів кібератак та методів її протидії».

Мета дипломної роботи - дослідити різні методи вчинення кібератак, їх вплив на комп'ютерні системи вцілому і на окремі комп'ютери. Дослідити методи захисту від кібератак і розробити власний алгоритм захисту.

Завдання дипломної роботи:

Вивчити тереотичні принципи здійснення кібератак;

Проаналізувати алгоритми захисту від кібератак;

Розробити власний алгоритм захисту;

1. КІБЕРАТАКА ТА ЇЇ МЕТОДИ

1.1 Аналіз галузі кібератаки

Кібератака - це намагання внести зміни в роботу комп’ютерних систем чи мереж, вивести їх з ладу, зруйнувати, а то й знищити інформацію чи програми, які в них зберігаються або які вони передають (Національна наукова рада США).

Уявіть ситуацію: група досвідчених комп’ютерних злочинців, послуговуючись Інтернетом, перехоплює контроль над багатьма комп’ютерами та об’єднує їх у мережі. Ці комп’ютерні мережі, відомі як ботнети (від англ. botnet: [ro]bot і net[work]), запускають шквал руйнівних програм, спрямованих проти якоїсь держави. За кілька хвилин перестають працювати веб-сайти військових, фінансових та комерційних установ, а також банкомати й телефонні лінії. Літаки не можуть злетіти, комп’ютери і системи безпеки атомної електростанції виходять з ладу. Як реагуватимуть люди? Що вони робитимуть? А що зробили б ви?

Така ситуація схожа на сюжет фантастичного фільму. Однак, за словами Річарда Кларка, колишнього координатора з питань безпеки, боротьби з тероризмом та захисту інфраструктури США, подібне може статися в реальному житті. Більш того, кібератаки вже траплялися*. Можливо, їх зазнавали навіть ви.

Навіщо зловмисники здійснюють кібератаки? Як відбуваються атаки? І як захистити себе від них?

Люди вдаються до кібератак з різних причин. Наприклад, терористи або уряди можуть проникати в комп’ютерні мережі своїх ворогів і красти секретні дані або пошкоджувати обладнання, яким керують ці мережі. У 2010 році заступник міністра оборони США Вільям Лінн III визнав, що «вороги» неодноразово атакували засекречені комп’ютерні мережі США й викрадали «тисячі файлів... у тому числі проекти зброї, плани операцій та дані розвідки».

Комп’ютерні злочинці використовують подібні методи, щоб красти інтелектуальну власність чи фінансову інформацію з корпоративних мереж або персональних комп’ютерів. Як повідомляють деякі джерела, щороку завдяки махінаціям в Інтернеті шахраї отримують прибутки в мільярди доларів.

Для здійснення кібератак хакери послуговуються цілою армією комп’ютерів, до яких вони здобули доступ. У 2009 році одна компанія, що дбає про інформаційну безпеку, викрила банду злочинців, котрі на відстані контролювали глобальну мережу з близько двох мільйонів комп’ютерів. Чимало цих комп’ютерів належало приватним особам. За нещодавньою оцінкою Організації економічного співробітництва і розвитку (ОЕСР), кожен третій комп’ютер, підключений до Інтернету, контролюється хакером. А як щодо вашого комп’ютера? Чи якийсь зловмисник, бува, не використовує його у власних цілях?

Злочинці діють за такою схемою. Вони висилають через Інтернет шкідливу програму. Коли вона натрапляє на ваш комп’ютер, то обережно перевіряє системи його захисту. Знайшовши «шпаринку», ця програма проникає у вашу машину і нишпорить у пошуках корисної інформації*. Вона може змінити чи видалити якісь файли, потрапити з вашого комп’ютера на інші через електронну пошту або відправити хакеру паролі, фінансові дані чи іншу конфіденційну інформацію.

Хакери можуть навіть заманити вас у пастку, і ви самі несвідомо заразите шкідливою програмою власний комп’ютер. Це може статися, коли ви відкриваєте безневинний на перший погляд додаток до електронного листа, активуєте посилання на веб-сторінці, завантажуєте та інсталюєте безкоштовну програму, під’єднуєте до комп’ютера заражений носій інформації або просто відвідуєте сумнівний веб-сайт. Такі дії нерідко дають зелену вулицю шкідливій програмі, яка автоматично інсталюється на ваш комп’ютер і дозволяє хакерам контролювати його на відстані.

Як дізнатися, чи ваш комп’ютер часом не заражений? Це буває нелегко. Та ось кілька симптомів: комп’ютер або Інтернет працюють дуже повільно, не працюють якісь програми, виринають вікна, котрі спонукують вас щось інсталювати, або комп’ютер функціонує не так, як завжди. Якщо ви помітили якийсь із цих симптомів, то попросіть надійного фахівця перевірити комп’ютер.

Окремі люди та цілі держави стають дедалі залежнішими від комп’ютерних технологій, тому кібератаки, мабуть, траплятимуться чимраз частіше. Ось чому багато країн створюють великі підрозділи кіберзахисту, а деякі навіть проводять широкомасштабні випробування, щоб перевірити, наскільки добре їхні комп’ютерні мережі можуть протистояти кібератакам. І все ж, за словами Стівена Чабінського, досвідченого експерта з кібербезпеки, котрий працює у Федеральному бюро розслідувань США, «якщо ворог матиме достатньо часу, мотивації і коштів, він завжди - завжди! - зможе проникнути в певну систему».

За деякими даними, у 2011 році хакерам було відомо понад 45 000 вразливих місць у комп’ютерних програмах. Використовуючи ці вразливі місця, зловмисники намагаються інсталювати шкідливе програмне забезпечення на чийсь комп’ютер без відома його власника.

За оцінкою ОЕСР, кожен третій комп’ютер, підключений до Інтернету, контролюється хакером

НЕЩОДАВНІ КІБЕРАТАКИ

рік. Комп’ютерний хробак Slammer швидко поширився Інтернетом, уразивши приблизно 75 000 комп’ютерів усього за 10 хвилин*. Швидкість Інтернету впала майже до нуля, перестали працювати банкомати та чимало веб-сайтів. Не могли злетіти літаки, а на одній з атомних електростанцій вийшли з ладу комп’ютери та комп’ютеризовані системи безпеки.

рік. Серію кібератак було здійснено на Естонію. Вони були скеровані на комп’ютерні системи уряду, а також банків і засобів масової інформації. Більшість цих атак походили з мереж (ботнетів), які нараховували понад мільйон комп’ютерів у 75 країнах. Усі ці м

рік. Високотехнологічний комп’ютерний хробак Stuxnet атакував системи контролю над виробничим процесом на атомній електростанції в Ірані.

За статистикою Україна опинилася на 4 місці в світі за кількістю кібератак, що виходять з країни.

Про це свідчить дослідження провідного німецького оператора зв'язку Deutsche Telekom, який візуалізував карту країн-джерел кібератак.

Україна опинилася на 4 місці після Росії, Тайваню та Німеччини. За останній місяць з українських серверів було скоєно 566 531 атак.

На рис.1 зображено топ 15 країн по проведенню кібератак.

Рис.1.Top 15 ofSourceCountries

Серед цих атак виділено топ 5 найпоширеніших кібератак (див. рис.2)

Рис.2.Top 5 AttackTypes

Спираючись на ці факти було створену карту на якій нанесено найбільші регіони проведення кібератак. На рис.3 зображено таку карту, разом із наведеними діаграмами статистики кібератак.

Рис.3.Overview of current cyber attack

Спираючись на великі показники кіберзлочинності в світі, було розроблено законодавчу базу з захисту інформації і кібербезпеці.

Сьогодні в світі актуальним питанням є проблема захисту інформації та інформаційного простору. Її розглядають не тільки на рівні однієї країни, але і на саммітах глобальних співтовариств та організацій, таких як НАТО, ЄС, Велика вісімка тощо. Відбувається це, головним чином, тому, що до їх складу входять провідні країни світу (США, Російська Федерація, передові країни Західної Європи та Азії).

Питання захисту інформації у Росії, США чи ЄС розглядається на найвищому рівні та підлягає постійному оновленню, як законодавчо так і програмно, адже від цього залежить безпека держави, її військові, економічні, соціальні та людські ресурси. Тому дуже важливо бути на передових позиціях у сфері захисту інформації, тому що «хто володіє інформацією, той володіє світом».

Країною з розвинутою системою захисту інформаціїйного простору є США. Американці перші, хто зрозумів вислів про володіння інформацією, оскільки вони одними з перших у світі запровадили систему захисту інформації на законодавчому рівні. У Сполучених Штатах Америки закони, що стосуються сфери захисту інформації діють з 1974 року [1]. Зазначимо, що законодавство у напрямку захисту інформації цієї країни, перш за все, визначає об’єкти правової охорони в інформаційній сфері, порядок реалізації права власності на інформаційні об’єкти, права і обов’язки власників, правовий режим функціонування інформаційних технологій; категорії доступу окремих суб’єктів до певних видів інформацій, встановлює категорії секретності, поняття «конфіденційної інформації» та межі його правового застосування [1]. Разом із тим, слід наголосити, що інформація в США може бути захищена за допомогою правових засобів захисту інтелектуальної власності, й взагалі інформація розглядається як об’єкт права інтелектуальної власності, навіть, коли йдеться про масову інформацію. Зазначимо, що в США існують чотири основних закони з приводу інтелектуальної власності: закон про авторське право, патентний закон, закон про торгову марку, закон про торговий секрет [2]. Ці закони є федеральними і поширюються на всі штати. Важливе значення в системі законодавства США в інформаційній сфері відіграють судові прецеденти. Особливий інтерес з приводу з’ясування питань регулювання інформаційних відносин становлять рішення саме щодо права власності та інтелектуальної власності на інформацію. Згідно законодавства США існує два види комерційної таємниці - це технологічна інформація (має самостійну економічну вартість внаслідок власної унікальності та за рахунок неможливості її одержання законним шляхом іншими особами, й які можуть отримати економічний еквівалент від її використання та розкриття) та ділова інформація (є об’єктом діяльності, що обґрунтовується за обставин, які вимагають її збереження в таємниці). Слід зазначити, що персональна інформація, в Сполучених Штатах розглядається відповідно до концепції «privacy». Ця концепція реалізується через Стандарт CSA, який було прийнято у 1996 році. Цей нормативно правовий документ використовується в Америці головним чином тому, що поширюється на всі країни члени НАТО Стандарт CSA містить наступні принципи регулювання суспільних відносин, що виникають з приводу персональних даних

. Відповідальність. Організація відповідальна за ті персональні дані, що знаходяться під її контролем, і має призначати особу або осіб, які відповідають за відповідність дій організації принципам законодавства .

. Ідентифікація мети. Мета, задля якої збирається інформація, має бути ідентифікована організацією до початку процесу збирання інформації.

. Згода. Усвідомлення та згода особи на збирання інформації про неї є обов’язковою умовою збирання, використання чи поширення (розкриття) персональних даних, крім випадків, де це недоречно.

. Обмежене збирання. Збирання персональної інформації має бути обмежене до межі тієї мети, яка визначена (ідентифікована) організацією. Інформація може збиратися лише для справедливої та законної мети.

. Обмежене використання, поширення, зберігання. Персональна інформація не повинна використовуватись або поширюватись не з тією метою, для якої вона була зібрана, окрім випадків згоди особи або вимоги закону. Персональна інформація не по винна зберігатися довше, ніж це необхідно для досягнення зазначеної мети.

. Точність. Персональна інформація має бути точною, повною та сучасною, щоб досягти мети, задля якої інформацію було зібрано.

. Безпека. Персональна інформація має бути захищена за допомогою забезпечення такого рівня безпеки, який відповідає вимогам «чутливості» (sensitivity) інформації.

. Відкритість. Організація має зробити доступною для особи специфічну інформацію про її (організації) політичне та практичне відношення до управління персональною інформацією.

. Особистий доступ. На вимогу особи вона має бути проінформована про існування, використання та поширення її персональної інформації, і такій особі має бути наданий доступ до інформації. Особа має бути в змозі перевірити точність і повно ту інформації та виправити таку інформацію в разі необхідності.

Слід зазначити, що інформаційне законодавство Сполучених Штатів Америки - це той орієнтир, на який повинні слідувати країни у своїх спробах збудувати хорошу базу інформаційного законодавства. У цій країні законодавці змогли створити систему законів стосовно безпеки інформації з такою лаконічністю та узагальненням, що занеобхідності реагування на проблему буде миттєве. Законодавча система США з безпеки інформації є однією з найнадійніших у світі, що робить її майже досконалою та такою, на яку всі повинні рівнятися. Ще одним прикладом інформаційного законодавства є закони, прийняті країнами членами Європейського Союзу, під які теперішні претенденти на вступ до ЄС переробляють або приймають доповнення до свого законодавства.

У 1995 році Європейським Союзом була прийнята Директива щодо Захисту особистості з дотриманням режиму персональних даних і вільного руху таких даних. Директива спрямована на впорядкування практики захисту інформації в межах Європейського Союзу. Однією з вимог, адресованих державам учасникам, є вимога прийняти закони щодо захисту персональної інформації як в публічному, так і в приватному секторі. Зазначені закони мають також включати тимчасове блокування переміщення інформації до держав - не членів Європейського Союзу, які не встановили «адекватного» рів ня захисту інформації. В доповнення цієї Директиви у 1996 році була прийнята Директива, яка забезпечує гармонізацію в державах - членах, умов, необхідних для того, щоб гарантувати еквівалентний рівень захисту фундаментальних прав і свобод, у тому числі специфічного права на секретність стосовно обробки персональних даних у секторі телезв’язку та гарантувати вільний рух таких даних, та обладнання телезв’язку та послуг у Співдружності. Положення Директиви регламентують також по рядок обробки інформації та надання її за запитом. Передбачається обов’язкове знищення інформації або надання їй характеру анонімної після надання на запит, або після досягнення іншої мети, погодженої з абонентом.

Обробка даних щодо рахунків може тривати лише до закінчення періоду, протягом якого по рахунках має бути сплачено. Можливість обробки торгівельних даних та інформації розрахунків має бути обмежена діяльністю осіб, які діють відповідно до повноважень постачальників публічно доступного обслуговування телезв’язку, запитами клієнта, виявленням шахрайства та вдосконаленням управління послугами телезв’язку. При здійсненні зазначеної діяльності, можливість обробки інформації має відповідати рівню необхідності такої обробки для досягнення встановленої мети. Персональні дані, що містяться в друкованих або електронних довідниках абонентів, які є доступним для громадськості або можуть стати доступними шляхом запиту, мають бути обмежені тією інформацією, яка до зволяє ідентифікувати конкретного абонента, якщо останній не дав згоди на публікацію додаткової інформації. Держави учасники можуть дозволити операторам мереж зв’язку вимагати платні від абонентів, які бажають, щоб інформація щодоадреси або статі не була внесена до довідника, якщо встановлена сума буде помірною та не заважатиме здійсненню такого права. Країни учасники можуть обмежити застосування цього положення до абонентів. Із метою реалізації чинної Директиви, держави учасники мають гарантувати добровільне обладнання зв’язку не встановлені жодні примусові вимоги щодо певних технічних особливостей, які б могли перешкоджати вільному розміщенню обладнання на ринку та його обігу між Державами учасниками.

Відповідно до Директиви щодо Захисту особистості з дотриманням режиму персональних даних і вільного руху таких даних. Директиви від 1996 року, були внесені зміни до національного Законодавства держав учасників Європейського Союзу [2]. Країни учасники Європейського Союзу мають у певному сенсі злагоджену систему захисту інформації, але в той же час вона є розгалуженою, тому що, як зазначалося вище, хоча існує Директива що до Захисту особистості з дотриманням режиму персональних даних і вільного руху таких даних, яка в принципі врегульовує певні питання, але при цьому майже кожна країна ЄС має свої закони, положення, інструкції, щодо врегулювання питань безпеки інформації. Така система має і свої переваги, та свої недоліки. Недолік полягає у тому, що обмін інформацією між країнами ускладнюється через певні неспівпадання у нормативних актах країн, про що було зазначено вище. Така ж проблема існує й у відносинах ЄС і України, оскільки інформаційне законодавство взагалі не співпадає з визначеннями понять у законодавстві Європейського Союзу.

Постанова Уряду Російської Федерації від 26 червня 1995 р. № 608 «Про сертифікацію засобів захисту інформації» - є основним документом, що регламентує діяльність органів із сертифікації засобів захисту інформації в РФ. Серед керівних документів Держтехкоміссії найважливішими є: Спеціальні вимоги і рекомендації з технічного захисту конфіденційної інформації (СТР К), в яких наведено максимально повний перелік вимог до об’єктів інформатизації, де обробляється конфіденційна інформація, а також Спеціальні вимоги і рекомендації щодо за хисту інформації, що становить державну таємницю, від витоку по технічних каналах (СТР), максимально повно що описують вимоги до об'єктів інформатизації, де обробляється інформація, що становить державну таємницю [7].

Із вищесказаного можна зробити висновок, що Росія у сфері захисту інформації просувається у на прямі європейської інтеграціїі, і це в майбутньому дозволить їй безперешкодно співпрацювати з краї нами європейської співдружності. Але при цьому її законодавча база побудована таким чином, що РФ може обмінюватися інформаційними ресурсами з будь якою країною СНД, чиє законодавство не від повідає європейським нормам, і не відчувати жодних незручностей. Висновки. Прогрес кожної держави у нинішніх умовах невід’ємно пов’язаний з розвитком інформаційних систем та їх захистом. Інформація в нинішній період виступає цінним товаром на цьому ринку, і для того, щоб вона була конкурентоспроможною, необхідно використовувати новітні технології та вдосконалювати і розробляти сучасні засоби захисту інформації. У цілому, світ, в якому ми живемо, стає все більш комп’ютеризованим і інформаційно насиченим. Це явище навіяне часом і однаково пронизує як комерційні структури, так і державні відомства, зокрема силові.

У зв’язку з тим, що зараз різні держави активно взаємодіють одна з одною з економічних, політичних, оборонних і інших питань, очевидною стає і необхідність взаємодії інформаційних систем цих країн. Разом із тим потрібно, щоб при цій взаємодії повною мірою діяло законодавство цих країн, регулюючі нормативно правові аспекти інформаційної безпеки, специфіка яких не завжди співвідноситься з особливостями нормативно правової бази нерозвинених країн. Імовірно, цей принцип в осяжному майбутньому буде одним із найважливіших завдань у сфері застосування інформаційної безпеки.

В Україні, які в інших країнах світу існуєсвоя нормативна база з захисту інформації, наведемо перелік основних нормативно-правових актів України у галузі технічного захисту інформації (ТЗІ) та криптографічного захисту інформації (КЗІ):

Закон України "Про інформацію"

Закон України "Про захист інформації в автоматизованих системах"

Закон України "Про державну таємницю"

Указ Президента України від 10.04.2000 №582 "Про заходи щодо захисту інформаційних ресурсів держави".

Концепція технічного захисту інформації в Україні.

НД ТЗІ 1.1-003-99 Термінологія в галузі захисту інформації в комп'ютерних системах від несанкціонованого доступу.

1.2 Способи кібератак

Атака листами

Атака листами важається найстарішим методом атак, хоча суть його проста й примітивна: велика кількість листів унеможливлюють роботу з поштовими скриньками, а іноді і з цілими поштовими серверами. Цю атаку складно запобігти, тому що провайдер може обмежити кількість листів від одного відправника, але адреса відправника і тема часто генеруються випадковим чином.[11]

Віруси

Наступний вид атаки є більш витонченим методом отримання доступу до закритої інформації - це використання спеціальних програм для ведення роботи на комп'ютері жертви, а також подальшого розповсюдження (це віруси і черв'яки).

Вірус- це програма, яка може заражати інші програми, змінюючи їх (копіює програму-вірус в програму, яка, в свою чергу, може заразити інші програми).

Біологічно віруси являють собою маленькі уламки генетичного коду (ДНК або РНК), які можуть переймати структуру живих клітинок і хитрістю залучити їх до виробництва тисяч точних копій початкового вірусу. Подібно цьому комп'ютерний вірус містить в собі рецепт того, як точно відтворити самого себе. Попавши в середовище комп’ютера, типовий вірус тимчасово бере на себе керування ОС і потім, при контакті зараженого комп'ютера з незараженими програмами, вірус упроваджує в ці програми свою копію. А далі він розповсюджується таким чином через магнітні носії, через мережу.

Вірус може робити те, що робить звичайна програма. Єдина відмінність полягає в тому, що він прикріплюється до іншої програми і приховано виконується під час роботи програми-хазяїна.

За час свого існування типовий вірус проходить 4 стадії:

фаза спокою. Вірус не діє, а чекає події, яка його активізує. Такою подією може бути настання певної дати, наявність іншого файла або перевищення певного об’єму диска. Але не всі віруси притримуються цієї стратегії;

фаза розмноження. Вірус розміщує свою копію в інші програми або в певні системні області на диску. Потім кожна заражена програмам містить клон вірусу, який також коли-небудь почне розмножуватись;

фаза запуску. Вірус активізується для отримання можливості виконувати функції, для яких його створено. Як і вихід з фази спокою, перехід в фазу запуску може бути спровокований різними системними подіями (у тому числі - перевищення деякої припустимої кількості нових копій вірусу);

фаза виконання. Вірус виконує свої функції. Ці функції можуть бути безпечними (виведення на екран повідомлення) або заподіювати шкоду (видаляти файли з програмами і даними).

Більшість вірусів робить свою справу, пристосовуючись до ОС, в деяких випадках - до певної апаратної платформи

Принципи дії цих програм різні. Розглервянемо деякі із них.

Черв 'яки. Черв'як - це програма, яка розповсюджується через мережу і не залишає своєї копії на магнітному носії. Черв’як ви­користовує механізм підтримки мережі для визначення вузла, який може бути заражений. Потім за допомогою тих самих механізмів передає своє тіло на цей вузол й або активізується, або чекає для цього певних сприятливих умов.

Мережні програми-черв'яки використовують мережні з'єднання, щоб переходити з однієї системи в іншу. Одноразово активізувавшись в системі, черв'як може вести себе як комп'ютерний вірус, породжувати троянських коней, виконувати інші руйнівні або деструктивні дії.

Для свого самовідтворення черв'як використовує деякий транспортний засіб:

електронну пошту - черв'як розсилає свою копію іншим системам;

можливості віддаленого запуску програм - черв'як запускає свою копію на іншій системі;

можливості віддаленої реєстрації - черв'як входить у віддалену систему під виглядом користувача, а потім за допомогою стандартних команд копіює себе із однієї системи в іншу.

Перед тим, як копіювати себе на якусь систему, мережний черв'як може спробувати визначити, чи інфікована ця система. Крім того, в багатозадачній системі він може маскуватися, присвоюючи собі імена системних процесів або якісь інші, які важко помітити системномуадміністратору.

Найбільш відомим представником цього класу є вірус Морріса (або, вірніше, "черв'як Моріса"), який вразив мережу Internetу 1988 році. Найсприятливішим середовищем для розповсюдження черв'яка е мережа, всі користувачі якої вважаються товаришами і довіряють один одному. Відсутність захисних механізмів якнайкраще сприяє вразливості мережі.

Найкращий спосіб захисту від черв'яка - вжиття заходів запобігання несанкціонованому доступу до мережі.

Отже, як віруси троянські коні і черв'яки на сьогоднішній день є однією із найнебезпечніших загроз комп'ютерній системі. Для захисту від цих різновидностей шкідливих програм необхідно створювати замкнуте середовище виконання програм, розмежовувати доступ до виконуваних файлів, контролювати цілісність виконуваних файлів і системних областей, тестувати придбані програмні засоби.

Зомбі. Зомбі - це програма, яка приховано під'єднується до інших підключених в інтернет комп'ютерів, а потім використовує цей комп'ютер для запуску атак, що ускладнює відстеження шляхів до розробника програми-зомбі.

Зомбі використовують при атаках з відмовою в обслуговуванні, які зазвичай направляють проти Web-вузлів. Зомбі розповсюджуються на сотні комп'ютерів, що належать не підозрюючим нічого третім особам, а потім використовуються для ураження вибраного в якості мішені Web-вузла за допомогою сильно збільшеного мережного трафіка.

"Жадібні" програми (greedyprogram).’'Жадібні" програми - це програми, що намагаються монополізувати який-небудь ресурс, не даючи іншим програмам можливості використовувати його. Доступ таких програм до ресурсів системи призводить до порушення її доступності для інших програм. Безумовно, така атака буде активним втручанням у роботу системи. Безпосередній атаці в більшості випадків піддаються об'єкти системи; процесор, оперативна пам'ять, пристрої введення-виведення,

Багато комп'ютерів, особливо в дослідницьких центрах, мають фонові програми, які виконуються з низьким пріоритетом. Вони проводять великий обсяг обчислень, а результати їхньої роботи потрібні не так вже часто. Але при підвищенні пріоритету така програма може блокувати решту програм. Ось чому вона є "жадібною”.

"Тупикова" ситуація виникає тоді, коли "жадібна" програма нескінченна (наприклад, виконує явно нескінченний цикл). Але в багатьох операційних системах існує можливість обмеження часу процесора, який використовується конкретною задачею. Це не стосується операцій, які виконуються залежно від інших програм, наприклад операцій введення-виведення, що закінчуються асинхронно до основної програми, оскільки час їх виконання не входить у час роботи програми. Перехоплюючи асинхронне повідомлення про закінчення операції введення-виведення і посилаючи знову запит на нове введення-виведення, можна досягти нескінченності програми. Такі атаки називають також асинхронними.

Другий приклад "жадібної" програми - програма яка захоплює дуже велику ділянку оперативної пам'яті. В оперативній пам'яті послідовно розміщуються, наприклад, дані, які надходять із зовнішньою носія. Врешті-решт пам'ять може бути сконцентрована в одній проірамі, і виконання інших стане неможливим.

Троянський кінь- це програма, яка виконує на доповнення до основних (проектних і документованих) додаткові, але не описані в документацп, дії. Троянський кінь - це корисна, або така, що здається корисною, програма або процедура, в якій приховано код, здатний в разі спрацьовування виконати деяку небажану або шкідливу функцію.

Аналогія зі старогрецьким троянським конем, отже, виправдана - і в тому, і в іншому випадку в оболонці, яка не викликає ніякої підозри, існує загроза. Програми такого типу є серйозною загрозою для безпеки комп'ютерних систем,

Троянські коні можуть використовуватись для виконання тих функцій, які несанкціонований користувач не може виконати безпосередньо.

За характером троянський кінь належить до активних загроз, які реалізуються програмними засобами і працюють у пакетному режимі. Троянський кінь є загрозою для будь-якого об'єкта комп'ютерної системи, причому ця загроза може виражатися будь-яким із способів: безпосередній вплив на об'єкт атаки, вплив на систему дозволів, опосередкований вплив. Найнебезпечнішим є опосередкований вплив, за якого троянський кінь діє в рамках повноважень одного користувача, але в інтересах іншого користувача, особу якого встановити майже неможливо.

Небезпека троянського коня полягає в додатковому блоці команд, встановленому тим чи іншим способом у початкову нешкідливу програму, яка потім пропонується (подарунок, продаж, заміна) користувачам комп’ютерної системи. Цей блок команд може спрацювати при виконанні деякої умови (дати, часу і т. д., або по команді ззовні). Той, хто запускає таку програму, створює небезпеку як для себе і своїх файлів, так і для всієї комп’ютерної системи в цілому. Отже, у деяких випадках логічні бомби також можна віднести до троянських програм.

Найбільш небезпечні дії троянський кінь може виконувати, якщо користувач, який його запустив, має розширений набір привілеїв. У цьому випадку зловмисник, який склав і впровадив троянського коня, а сам цих привілеїв не має, може виконати несанкціоновані привілейовані функції чужими руками. Або, наприклад, зловмисника дуже цікавлять набори даних користувача, який запустив таку програму. Останній може навіть не мати розширеного набору привілеїв, - це не буде перешкодою для виконання несанкціонованих дій.

Наприклад, деякий користувач-зловмисник хоче отримати доступ до файлів іншого користувача. Він пише програму, яка під час запуску змінює права доступу до файлів користувача, який її викликав, таким чином, щоб ці файли могли прочитати інші користувачі. Далі, помістивши цю програму в загальний каталог і присвоївши їй ім’я, схоже на ім'я якоїсь корисної утиліти, автор програми якимось чином досягає того, щоб потрібний користувач запустив її. Прикладом такої програми може бути програма, яка ніби-то виводить лістинг файлів користувача в потрібному форматі.

Прикладом троянського коня, який важко виявити, може бути компілятор, змінений таким чином, щоб при компіляції вставляти в певні програми (наприклад, програми реєстрації в системі) додатковий код. За допомогою такого коду в програмі реєстрації можна створити люк, що дозволяє автору входити в систему за допомогою спеціального пароля. Такого троянського коня неможливо виявити в початковому тексті програми-реєстрації. Таким чином, і люки можна віднести до програм-троянів.

Троянський кінь - одна з найнебезпечніших загроз безпеці операційних систем. Радикальним способом захисту від цієї загрози є створення замкнутого середовища виконання програм. Бажано також, щоб привілейовані і непривілейовані користувачі працювали з різними екземплярами прикладних програм, які мають зберігатися і захищатися індивідуально. При виконанні цих заходів імовірність впровадження подібних програм буде досить низькою.

У порівнянні з вірусами троянські коні не одержують широкого поширення по досить простих причинах - вони або знищують себе разом з іншими даними на диску, або демаскують свою присутність і знищуються постраждапим користувачем.

До категорії програм-троянів відносять також програми-вандали. Ці програми, як правило, імітують виконання якої-небудь корисної функції або маскуються під нову версію відомого програмного продукту. При цьому в якості побічного ефекту вони знищують файли, псують каталот, форматують диски або виконують деякі інші деструктивні дії.

Слід зазначити також "злі жарти” (hoax). До них відносяться програми, що не заподіюють комп'ютеру якоїсь прямої шкоди, однак виводять повідомлення про те, що така шкода вже заподіяна, або буде заподіяна за певних умов, або попереджають користувача про неіснуючу небезпеку. До "злих жартів” відносяться, наприклад, програми, що "лякають" користувача повідомленнями про форматування диска (хоча самого форматування насправді не відбувається), детектують віруси в незаражених файлах (так робить відома програма ANTITIME), виводять дивні вірусоподібні повідомлення і т.д. - у залежності від почуття гумору автора.

До такої ж категорії “злих жартів” можна віднести також свідомо помилкові повідомлення про нові супер-віруси. Такі повідомлення періодично з'являються в електронних конференціях і звичайно викликають паніку серед користувачів.

Захоплювачі паролів (passwordgrabber).Захоплювачі паролів • це спеціально призначені програми для крадіжки паролів. Вони виводять на екран терміналу (один за одним); порожній екран, екран, який з'являється після катастрофи системи або сигналізує про закінчення сеансу роботи. При спробі входу імітується введення імені і пароля, які пересилаються власнику програми-захоплювача, після чого виводиться повідомлення про помилку введення і управління повертається операційній системі. Користувач думає, що зробив помилк при наборі пароля, повторює вхід і отримує доступ до системи. Отже, в результаті таких дій його ім'я і пароль стають відомими власнику програми-захоплювача.

Перехоплення пароля може здійснюватися й іншим способом - за допомогою впливу на програму, яка керує входом користувачів у систему, та її наборів даних.

Захоплення пароля є активним, безпосереднім впливом на комп'ютерну систему в цілому. Для запобігання цій загрозі перед входом в систему необхідно впевнитися, що вводиться ім'я і пароль саме системної програми входу, а не якої-небудь іншої. Крім того, необхідно суворо дотримуватися правил використання паролів і роботи з операційною системою. Слід зауважити, що більшість порушень здійснюється не через хитромудрі атаки, а через елементарну необережність.

Не слід вимикати комп'ютер, доки не будуть закриті всі робочі програми. Необхідно постійно перевіряти повідомлення про дату і час останнього входу і кількість помилкових входів. Ці прості дії допоможуть уникнути захоплення пароля.

Крім описаних вище, існують і інші можливості компрометації паролів. Отже, слід дотримуватись правил, які рекомендуються для створення і використання паролів.

Не слід записувати команди, які містять пароль, у командні процедури, слід намагатись уникати явного повідомлення пароля при запитуванні доступу по мережі, оскільки ці ситуації можна простежити і захопити таким чином пароль. Не слід використовувати один і той самий пароль для доступу до різних вузлів. Рекомендується частіше змінювати пароль.

Дотримання правил використання паролів - необхідна умова надійного захисту.[11]

Мережева розвідка

Мережевою розвідкою називається збір інформації про мережу за допомогою загальнодоступних даних і додатків. При підготовці атаки проти будь-якої мережі хакер, як правило, намагається отримати про неї якнайбільше інформації. Мережева розвідка проводиться у формі запитів DNS, луна-тестування (pingsweep) і сканування портів. Запити DNS допомагають зрозуміти, хто володіє тим чи іншим доменом і які адреси цього домену привласнені. Ехо-тестування (ping sweep) адрес, розкритих за допомогою DNS, дозволяє побачити, які хости реально працюють у даному середовищі. Отримавши список хостів, хакер використовує засоби сканування портів, щоб скласти повний список послуг, що надаються цими хостами. І нарешті, хакер аналізує характеристики додатків, що працюють на хостах. У результаті видобувається інформація, яку можна використовувати для злому

У ході такої атаки крекер власне не робить ніяких деструктивних дій, але в результаті він може отримати закриту інформацію про побудову та принципи функціонування обчислювальної системи жертви. У ході такої розвідки зловмисник може виробляти сканування портів, запити DNS, луна-тестування відкритих портів, наявність і захищеність проксі-серверів.ї

Повністю позбавитися від мережевої розвідки неможливо. Якщо, наприклад, відключити луну ICMP і луна-відповідь на периферійних маршрутизаторах, ви позбудетеся від відлуння-тестування, але втратите дані, необхідні для діагностики мережевих збоїв. Крім того, сканувати порти можна і без попереднього луна-тестування. Просто це займе більше часу, так як сканувати доведеться і неіснуючі IP-адреси. Системи IDS на рівні мережі і хостів звичайно добре справляються з завданням повідомлення адміністратора про що ведеться мережевий розвідці, що дозволяє краще підготуватися до майбутньої атаки і оповістити провайдера (ISP), у мережі якого встановлена система, що проявляє надмірну цікавість. [11]

Сніффінг пакетів

Теж поширений вид атаки в недостатньо захищених мережах, коли зловмисник видає себе за санкціонованого користувача, перебуваючи у самій організації, або за її межами. Така атака можлива, якщо система безпеки дозволяє ідентифікацію користувача тільки за IP-адресою і не вимагає додаткових підтверджень.[11]in-the-Middle

З англ. «Людина посередині». Коли зловмисник перехоплює канал зв'язку між двома системами, і отримує доступ до всієї інформації, що передається. Мета такої атаки - крадіжка або фальсифікування переданої інформації, або ж отримання доступу до ресурсів мережі 1. Тому в чисто технічному плані убезпечити себе можна лише шляхом криптошифрування переданих даних.[11]

Соціальна інженерія

Соціальна інженерія (від англ. SocialEngineering) - використання некомпетентності, непрофесіоналізму або недбалості персоналу для отримання доступу до інформації. Як говорить стара приказка, «Найслабкіша ланка системи безпеки - людина».[11]

Відмова в обслуговуванні(від англ. DenialofService - відмова в обслуговуванні) - атака, яка має на меті змусити сервер не відповідати на запити.

Атака на відмову в обслуговуванні, розподілена атака на відмову в обслуговуванні (DoSattack, DDoSattack) напад на комп'ютерну систему з наміром зробити комп'ютерні ресурси недоступними для користувачів комп’ютерної системи.

Одним із найпоширеніших методів нападу є насичення атакованого комп'ютера або мережевого устаткування великою кількістю зовнішніх запитів (часто безглуздих або неправильно сформульованих) таким чином атаковане устаткування не може відповісти користувачам, або відповідає настільки повільно, що стає фактично недоступним.

Якщо атака відбувається одночасно з великої кількості IP- адрес, то її називають розподіленою (DDoS).

Принцип функціонування DoS-атакиатаки поділяються на локальні та віддалені. До локальних відносяться різні експлойти: форк-бомби іпрограми, що відкривають до мільйону файлів або запускають якийсь циклічний алгоритм, який повністю заповнює оперативну пам'ять та процесорні ресурси, Для локальної DoSатаки необхідно отримати доступ до атакованої машини на рівні, що буде достатнім для захоплення ресурсів

Розглянемо віддалені DoS-атаки, Вони поділяються на два види:

віддалена експлуатація помилок в програмному забезпеченні з метою довести його до неробочого стану;посилання на адресу жертви величезної кількості інформаційних пакетів. Метою флуду може бути канал зв'язку або ресурси машини, У першому випадку потік пакетів займає весь пропускний канал і не дає машині, що атакується, можливості обробляти легальні запити. У другому - ресурси машини захоплюються за допомогою багаторазового і дуже частого звернення до якого-небудь сервісу, що виконує складну, ресурсоємну операцію. Це може бути, наприклад, тривале звернення до одного з активних компонентів (скрипту) web-сервера. Сервер витрачає всі ресурси машини на обробку запитів, що атакують, а користувачам доводиться чекати.

У традиційному виконанні класичний флуд даремний, тому що при сьогоднішній ширині каналу серверів, рівні обчислювальних потужностей і використанні різних анти- DoSприйомів в програмному забезпеченні (наприклад, затримки при багаторазовому виконанні тих самих дій одним клієнтом), атакувальник перетворюється на докучливого комара, не здатного завдати ніякої шкоди. Але якщо цих «комарів» наберуться сотні, тисячі або навіть сотні тисяч, вони легко виведуть сервер з ладу.

Принцип функціонування DDoS-атаки

Розподілена атака типу «відмова в обслуговуванні» (DDoS), зазвичай здійснюється за допомогою безлічі «зазомбованих» хостів, може відрізати від зовнішнього світу навіть найстійкіший сервер, і єдиним ефективним захистом при цьому є організація розподіленої системи серверів (кластера).

Є два варіанти організації DDoSатак:

Ботнет - зараження певного числа комп'ютерів програмами, які в певний момент починають здійснювати запити до атакованого сервера.

Флешмоб - домовленість великого числа користувачів Інтернету почати здійснювати певні типи запитів до атакованого сервера.

Небезпека більшості DDoS-атак - в їх абсолютній прозорості і «нормальності». З ними стикаються багато адміністраторів, коли ресурсів машини (ширини каналу) стає недостатньо, або web-сайт піддається слешдот-ефекту. І, якщо обмежувати трафік і ресурси для всіх підряд, то можна врятуватися від DDoSатаки, у той же час, втративши велику частину клієнтів.

Виходу з цієї ситуації фактично немає, проте наслідки DDoS-атак і їх ефективність можна істотно понизити за рахунок правильного налаштування маршрутизатора, брандмауера і постійного аналізу аномалій в мережевому трафіку.

Отже, існує два типи DoS/DDoS-атак, і найпоширеніша з них заснована на ідеї флуду, тобто закиданні вузла жертви величезною кількістю інформаційних пакетів. Флуд буває різним: ІСМР-флуд. SYN-флуд, UDP-флуд і HTTP-флуд. Сучасні DoS-боти можуть використовувати всі ці види атак одночасно, тому слід заздалегідь передбачити адекватний захист від кожної з них.флуд

Дуже примітивний метод забивання смуги пропускання і створення навантажень на мережевий стек через монотонне посилання запитів ІСМР ECHO(пінг). Легко виявляється за допомогою аналізу потоків трафіку в обидві сторони: під час атаки тилу icmp-флуд вони практично ідентичні. Майже безболісний спосіб абсолютного захисту заснований на відключенні відповідей на запити ICMPECHO.флуд

Один з поширених способів не лише забити канап зв’язку, але і ввести мережевий стек операційної системи в такий стан, коли він вже не зможе приймати нові запити на підключення. Заснований на спробі ініціалізації великого числа одночасних ТСР-з'єднань через пересилання SYN-лакету з неіснуючою зворотною адресою. Після декількох спроб відіслати у відповідь АСК-пакет на недоступну адресу більшість операційних систем ставлять невстановлене з’єднання в чергу. І лише після n-ої спроби закривають з’єднання. Оскільки потік АСК-пакетів дуже великий, незабаром черга виявляється заповненою, і ядро дає відмову на спроби відкрити нове з'єднання. Найрозумніші DoS- боти ще й аналізують систему перед початком атаки, щоб слати запити лише на відкриті життєво важливі порти. Ідентифікувати таку атаку просто: досить спробувати підключитися до одного з сервісів. Захисні заходи зазвичай включають:

збільшення черги «напіввідкритих» tcp-з'єднань;

зменшення часу утримання «напіввідкритих» з'єднань:

включення механізму TCP syncookies;

обмеження максимального числа «напіввідкритих» з'єднань з одного IPдо конкретного порту.флуд

Типовий метод перевантажання смуги пропускання. Заснований на нескінченному посиланні udp-пакетів на порти різних udp-сервісів. Легко усувається за рахунок відключення таких сервісів і встановлення ліміту на кількість з'єднань в одиницю часу до блэ-сервера на стороні шлюзу.

НТТР-флуд

Один з найпоширеніших на сьогоднішній день способів флуду. Заснований на нескінченному посиланні http-повідомлень GЕТ на 80-й порт з метою завантажити web- сервер настільки, щоб він виявився не в змозі обробляти решту запитів. Часто, метою флуду стає не корінь web-сервер, а один із скриптів, що виконують ресурсоемні завдання або що працює з базою даних. У будь-якому разі, індикатором атаки, що почалася, служитиме аномально швидке зростання лотів web-сервера.

Методи боротьби з http-флудом включають вдосконалення web -сервера і бази даних з метою понизити ефект від атаки, а також відсіювання Dos-ботів за допомогою різних прийомів, По-перше, слід збільшити максимальне число з'єднань до бази даних одночасно. По-друге, встановити передweb-сєрвером ПЗдля легкого кешування запитів. Це рішення не лише понизить ефект Dos-атак, але і дозволить серверу витримати величезні навантаження.[11]

Ін'єкція

Атака, пов'язана з різного роду ін'єкціями, має на увазі впровадження сторонніх команд або даних в працюючу систему з метою зміни ходу роботи системи, а в результаті - одержання доступу до закритих функцій та інформації або дестабілізації роботи системи в цілому.SQL-ін'єкція - атака, в ході якої змінюються параметри SQL-запитів до бази даних.PHP-ін'єкція - один із способів злому веб-сайтів, що працюють на PHP.;Міжсайтовий скриптинг або СSS (абр. від англ. Cross Site Scripting) - тип атак, зазвичай виявляють у веб-додатках, які дозволяють впроваджувати код зловмисних користувачам у веб-сторінки, що переглядаються іншими користувачами.XPath-ін'єкція - вид атак, який полягає у впровадженні XPath-виразів у оригінальний запит до бази даних XML.[11]

Висновок.Отже,насьогоднішнійдень проблема кібератаки існує майже в кожній країні світу. Зловмисники з кожним днем удосконалють методи здійснення кібератак. Сьогодні відомо близько 10 різних типів таких атак. Серед них: атака листами, віруси, мережева розвідка, сніффінг пакетів, IP-спуфінг, Man-in-the-Middle, соціальна інженерія, відмова в обслуговуванні, ін'єкція

2. ЗАСОБИ ЗАХИСТУ ІНФОРМАЦІЇ ВІД КІБЕРАТАК

Проблема захисту даних від кібератак стала актуальною з самого початку використання обчислювальної техніки. Втрата недокументованих електронних даних спричиняла необхідність повторного виконання необхідної обробки інформації. В деяких випадках втрата вихідних даних робила неможливою повторну обробку інформації, а отже, і втрату важливих результатів.

Саме проблема захисту даних під час передачі їх між комп'ютерами (поряд із завданням збільшення швидкості їх обробки) стала поштовхом до створення комп'ютерних мереж.

Можливо, що закономірним є той факт, що саме розвиток комп'ютерних мереж став причиною надзвичайного загострення проблеми захисту даних.

Захист даних, а, отже, і захист інформації - комплексна проблема, яка є частиною національної безпеки. Необхідність вирішення проблеми захисту інформації на державному рівні викликала включення цієї проблеми до стратегії національної безпеки та прийняття Закону "Про електронний підпис". Це не останній законодавчий акт в цьому напрямі, оскільки комплексне вирішення проблеми передбачає створення єдиної правової, організаційної та матеріально-технічної бази.

На державному рівні мова йде про захист інформації державної ваги. Але і на рівні органів державного управління та місцевого самоврядування ця проблема на сьогодні стоїть досить гостро.

На сьогоднішній день існує чимало засобів захисту інформації від впливу кібератак. На рис.4 зображено основні методи і засоби для забезпесення цілісності і конфіденційності даних.

Рис.4. Методи та засоби захисту інформації від кібератак

Коли говорять про захист даних, то мають на увазі дві основних небезпеки втрати даних: пошкодження даних і несанкціонованого доступу до них. Боротьба з обома небезпеками ведеться апаратними і програмними засобами та організаційними заходами. Нижче ми розглянемо основні засоби захисту даних, які можна використовувати у своїй практичній діяльності.

2.1 Апаратні засоби захисту даних від кібератак

До апаратних засобів захисту від пошкодження даних слід віднести використання джерел неперервного живлення, а також резервування та архівування даних.

Раптове зникнення напруги може спричинити втрату тих файлів, з якими в момент зникнення напруги працював комп'ютер. Так, наприклад, як операційна система Windows, так і програми з пакету MSOffice під час роботи створюють багато тимчасових файлів, які постійно використовуються програмами. Раптове зникнення напруги може спричинити втрату цих файлів і, як наслідок, "розвал" системи і втрату файлів з даними. Найгіршим випадком є вихід з ладу жорсткого диску. Хоча відновлення інформації з цього диску ще здебільшого можливе, але це може бути не в повному обсязі і коштуватиме досить дорого.

Чому коректне вимкнення комп'ютера є важливим для збереження цілості операційної системи?

Використання джерел неперервного живлення (UPS) дає можливість у випадку пропадання напруги в мережі підтримувати роботу системи ще протягом 20 хв. За цей час завершиться виконання всіх програм і комп'ютер можна буде вимкнути без втрати всіх даних. У відповідальніших випадках використовують резервне живлення або з мережі, або від автономного джерела.

Резервування інформації дає можливість у випадку втрати даних повернути стан системи на момент її резервування. При цьому резервні копії можна зберігати у захищених місцях (приміщеннях чи сейфах). Для резервування використовують або засоби постійної пам'яті (компакт-диски, стримери, переносні жорсткі диски), або жорсткі диски на іншому комп'ютері в мережі.

Для інформації невеликого обсягу цілком придатний спосіб зберігання даних у вигляді архіву на тому ж комп'ютері, на автономному носії або на іншому комп'ютері. Принципово - це те ж саме резервування даних, але в трансформованому (стисненому) вигляді. Для архівування використовують програми WinZIP або WinRAR. Доречі, в архівованому вигляді дані легше передавати засобами електронного зв'язку в мережі. При цьому бажано користуватись архіватором ZIP.

До апаратних засобів захисту також належать:

криптографічні плати, за допомогою яких дані можна зашифрувати, створити електронний підпис та аутентифікувати користувача;апаратна система захисту локальних мереж. SunScreen - це спеціалізована системазахисту що вирішує завдання розвиненої фільтрації пакетів, аутентифікації і забезпечення конфіденційності трафіка. SunScreenнемає ІР-адреси, тому він «невидимий»» із зовнішньої мережі і тому не може бути безпосередньо атакований. Пристрій SunScreenмістить п'ятьEthernet-адаптери, доякихможуть приєднуватися чотири незалежних сегменти локальної мережі і комунікаційний провайдер. Для кожногосегмента забезпечуєтьсянастройка індивідуальної політики безпеки шляхом встановлення складного набору правил фільтрації пакетів (за напрямом поширення, за адресами відправника/одержувача, за протоколами і додатками, за часом доби і т. д.).Іншою важливою рисоюSunScreen є підтримка протоколу SКІР, який, з одного боку, використовується для забезпечення безпеки роботи, управління і конфігурування системSunScreen, а з іншого - дозволяє організовувати SКІР-захист користувацького трафіка. В результаті весь трафік між локальними мережами, які захищаються, може виглядати ззовні тільки як повністю шифрований трафік між вузлами SunScreen-пристроями. Вся інформація, яка може бути в цьому випадку доступна зовнішньому спостерігачеві динаміка і оцінка інтенсивності трафіка, яка, зазначимо, може маскуватися шляхом використання стиснення даних і видачі «пустого» трафіка.

Смарт-карти по своєму зовнішньому вигляді зони нічим не відрізняються від звичайних банківських (чіпових. не магнітних) карт. Ці пристрої мають гарні характеристики надійності. У них є власний збудований мікропроцесор, що дозволяє реалізовувати різні алгоритми захисту.

Залежно від виробника захищеність карт міняється. У маленький шматок пластику з чіпом можуть вбудовуватися різнідатчики призначення яких заборона функціонування мікропроцесора при спробі пошкодження пластику. Це можуть бути температурнідатчики, чутливі до механічних впливів - наприклад, до зрізання пластикового впакування для прямого доступу до електроніки. Всяінформація, що зберігається в чіпі, шифрується, щоб фахівцю, що знайде лазівку до вмісту мікросхеми не вдалося її прочитати, принаймі відразу. Є також захист від підбору пароля аж до знищення всіх даних, що знаходяться в чіпі.

Призначені смарт-карти для зберігання особистої інформації, паролів доступу і даних для аутентифікації. Гарні вони тим що, будучидосить компактними, мають такі якості, як довговічність і великий об'єм даних, що можуть зберігати. Для успішної аутентифікації потрібно вставити смарт-карту в зчитувальний пристрій і ввести пароль (PIN-код).

Загалом, смарт-карти - дуже серйозний бар'єр на шляху зловмисника. Це зручний і недорогий засіб для захисту даних. Однак вони мають серйозний недолік - низьку мобільність, оскільки для роботи з ними потрібен зчитувальний пристрій - рідер.

І якщо на настільні комп'ютери встановлення додаткового обладнання особливих ускладнень не викликає, то для ноутбук а „а вже досить серйозна проблема. Але, в принципі, вихід є, і не один. Так, у продажі є рідер, виконаний у форм-факторі флопі-дисковода та спілкується з ноутбуком через його ж інтерфейс. А останнім часом розроблювачі ноутбуків стали вбудовувати в нові моделі пристрої для читання смарт-карт. Природно, що й самі картки йдуть у комплекті.[11]токен Зовні цей пристрій представляє собою звичайну флешку, але по своїм виконуваним функціям він багато в чому відповідає смарт-карті. Користуватися цими пристроями дуже зручно, оскільки немає необхідності запам'ятовувати безліч паролів і кодів доступу, вся інформація зберігається в USB-токені. Крім того на носії можуть бути цифрові підписи, сертифікати й інша інформація, яку небезпечно зберігати на жорсткому диску ноутбука.

Процес двохфакторної аутентифікації з використанням USB-токенів проходить у два етапи: користувач підключає цей невеликий пристрій в USB-порт комп'ютера й вводить PIN-код. Перевагою даного типу засобів аутентифікації є висока мобільність, тому що USB-порти є на кожній робочій станції й на будь-якому ноутбуці.

При цьому застосування окремого фізичного пристрою, що здатен забезпечити безпечне зберігання конфіденційних даних (ключів шифрування, цифрових сертифікатів тощо), дозволяє реалізувати безпечний локальний або віддалений вхід в обчислювальну мережу, шифрування файлів на ноутбуках, робочих станціях і серверах, керування правами користувача й здійснення безпечних транзакцій.

Крім того, USB-токени більше практичні, ніж смарт-карти. Недоліком же цих токенів є ціна. У середньому смарт-карта коштує у два рази дешевше USB-ключа.токени з вбудованим чіпом. Від смарт-карт даний тип персонального ідентифікатора відрізняється тільки формфактором. USB-токени з вбудованим чіпом мають всі переваги смарт-карт, пов'язаними з безпечним зберіганням конфіденційних відомостей і здійсненням криптографічних операцій прямо всередині токена, але позбавлені їхнього основного недоліку, тобто не вимагають спеціального зчитувального пристрою. Поліфункціональність токенів забезпечує широкі можливості їхнього застосування - від суворої аутентифікації й організації безпечного ло­кального або віддаленого входу в обчислювальну мережу до побудови на їхній основі систем юридично важливого електронного документообігу, організації захищених каналів передачі даних, керування правами користувача, здійснення безпечних транзакцій й ін.[11]

Біометричні сканери. Додатковий носій - це предмет, що може бути загублений або вкрадений, і із цієї причини значне поширення в сучасних ноутбуках одержали біометричні сканери. Звичайно в ролі «біометричного предмета» використовується відбиток пальця користувача, його неможливо вкрасти й дуже складно підробити. Система настроюється на відбиток пальця власника й при наступному доступі порівнює відскановане зображення з оригіналом, що зберігається. Використання біометричного сканера відбитка пальців дуже просто й у той же час досить надійно. Кращий пароль для входу в систему або ж спосіб шифрування інформації й придумати неможливо.

На сьогоднішній день це самий надійний метод входу з систему. Однак варто знати, що одна наявність сканера не гарантує високого ступеня безпеки вашої інформації. Для ефективного захисту даних біометрична система повинна бути інтегрована в криптосистему.

Комп'ютери зі сканерами відбитка пальця вже випустили такі відомі фірми, як Hewlett-Packard, Acer, Samsungтощо.

Крім відбитка пальця, є й інші біометричні системи. Так, на сьогоднішній день доступний пристрій для сканування райдужної оболонки ока, причому досить компактний. Варте зазначити, що райдужна оболонка ока має високий рівень індивідуальності, а це значить, що не можна зустріти людини з таким же малюнком. Отже, у даного способу дуже високий рівень захисту, значно вищий, ніж при скануванні відбитка пальця, але досить висока ціна.

захист від електромагнітного випромінювання, куди відносяться: використання оптоволоконних кабелів, захисної плівки на вікнах, захищених дисплеїв;

захист від поновлення знищених даних;

захист від підслуховування шляхом: встановлення фільтрів на лініях зв'язку, попередження встановлення підслуховуючих пристроїв, використання звукопоглинаючих покрить, протипідслуховувального зашумлення.

Отже ці та інші апаратні засоби дозволяють нам значно знизити вірогідність проведення кібератаки спрямованої проти нас.

2.2 Програмні засоби захисту даних від кібератак

Окрім апаратних засобів захисту інформації від кібератак існують і програмні, які встановлюються беспосередньо в ОС і не потребують додаткових апаратних частин. Розглянемо деякі зних.

При існуючому різноманітті вірусів і їх мутацій запобігти зараженню може тільки повнофункціональна ант/вірусна система, що має в своєму арсеналі всі відомі технології боротьби з «інфекційними хворобами»: не тільки сканер-поліфаг, але і резидентний, online-монітор, засоби контролю програмної цілісності тз евоистичногс пошуку вірусних сигнатур.

Кожен новий вірус необхідно знайти щонайшвидше (а деякі віруси навмисно довго себе не проявляют», щоб у них було досить часу на розповсюдження). Проблема у тому, ще немає чіткого способу визначити наперед, що при своєму виконанні дана програма проявить вірусоподібну поведінку. Як немає єдиних ліків від усіх хвороб, так немає універсальної «вакцин/ь від усіх видів шкідливого програмного забезпечення. На всі 100% захиститися від вірусів практично неможливо

У такій сфері, як виявлення атак на комп'ютерні системи, процес вдосконалення, нескінченний. Хакери не втомлюються, винаходити все нові схеми проникнення в комп’ютерні системи. Розробники детектуючих додатків, що стоять по іншу сторону барикад, відстежують новинки, що з'являються, і поспішають запропонувати свої контрзаходи. От чому продукти, ще випускаються, вимагають постійної модернізації, і користувачам настійно рекомендується встановлювати оновлені сигнатури, що дозволяють ідентифікувати нові види мережевих атак.

Старе антивірусне програмне забезпечення подібне лікам з минулим терміном придатності - толку від нього мало. Якщо не обновляти файли сигнатур, то ране чи пізно можна опинитися беззахисними проти нових вірусів. Більшість фірм, що розробляють антивіруси, випускають нові файли сигнатур принаймні двічі в місяць або й частіше, якщо з'являється серйозний вірус, Для отримання нових сигнатур зручно користуватися функцією автоматичного оновлення через Web, що є в антивірусному пакеті.

Такі антивірусні продукти, як Norton Antivirus 2000 і McAfeeVirusScan, підтримують найкрупніші дослідницькі групи галузі: відповідно SymantecAntivirus Research Centerі Antivirus EmergencyResponseTeam. Тому Nortonі McAfeeшвидко реагують на загрозу нового вірусу.

Всі основні фірми-постачальники антивірусного забезпечення регулярно і досить часто оновлюють файли сигнатур вірусів, а при появі особливо шкідливого вірусу створюють додатковий екстрений випуск. Ще зовсім недавно вважалося, що сигнатури потрібно оновлювати щомісячно, але в нашу епоху нових вірусів, можливо, буде розумним перевіряти їх щотижня вручну або за допомогою автоматичного оновлення антивірусної програми. В утилітах McAfee, Symantecі TrendMicroдля оновлення достатньо один раз клацнути кнопкою миші.

Певний набір засобів антивірусного захисту присутній у всіх утилітах основних фірм-виробників програмного забезпечення. Серед них: постійний захист від вірусів (антивірусний монітор), перевірка системи за розкладом і оновлення, сигнатур через internet, з також створення аварійної завантажувальної дискети, що дозволяє запустити комп'ютер навіть тоді, коли у нього заражений вірусом завантажувальний сектор (природне, дискету треба створити до того, як вірус потрапив в комп'ютер). Крім цих стандартних засобів, деякі пакети містять «архітектурні надмірності»: наприклад, спеціальний додатковий захист від поштових вірусів (тривога з приводу яких наростає), а таких шкідливих модулів ActiveXІ Java-аплетів. А такі програми, як PandaAntivirusPlatinumі PC-cillin, навіть дозволяють батькам заблокувати доступ дітей до небажаних Web- сторінок.

Оскільки у нових вірусів є нові сигнатури, файли сигнатур необхідно підтримувати в актуальному стані. При виході нової версії антивірусе формат файла сигнатур звичайно міняється, і оновлені сигнатури виявляються несумісними з попередніми версіями програми,

В даний час способи надання антивірусного захисту істотне змінюються. Компанія McAfee.comвиє пропонує перевірку на віруси через Internet s своїй «електронній лікарні» McAfeeClinic(разом з ще декількома видами діагностики). Перевірку віддалених комп'ютерів на віруси здійснює модуль ActiveX, який бере сигнатури з Web-серверу виробника програми.

Популярними й ефективними антивірусними програмами є антивіруси» сканери, монітори, фаги (поліфаги), ревізори. Застосовуються також різного роду блокувальники і іммунізатори (вакцини). Розглянемо характеристики кожного з цих видів програм.

Сканери (scanner).Сканери (детектори) здатні виявити фіксований набір суттєвих вірусів у файловій системі, секторах і системній пам’яті, а потім - негайно видалити більшість з них. Для пошуку вірусів сканери використовують так звані “маски" (або сигнатуру) - деяку постійну послідовність коду, специфічну для конкретного вірусу.

У випадку, якщо вірус не містить у собі постійної маски (наприклад, поліморфік-віруси), використовуються інші методи, засновані на описі всіх можливих варіантів коду на алгоритмічній мові.

У багатьох популярних сканерах (наприклад Антивірус Касперського, DoctorWeb, Norton Antivirus, McAfee, Pgnca Antivir, AntiVir Personal Edition і ін.) застосовується, режим евристичного сканування. Цей режим полягає в тому, що програма не просте шукає віруси, а проводить аналіз послідовності команд у кожному об’єкті, який перевіряється, здійснює набір деякої статистики, згодом приймає ймовірне рішення типу: ’можливо заражений" або "не заражений".

Евристичне сканування являє собою ймовірнісний метод пошуку вірусів, ще, в решті рент, забезпечує можливість визначення невідомих програмі вірусів, але разом з цим збільшує кількість помилкових спрацьо­вувань (повідомлень, знайдених вірусах у файлах, де насправді їх немає).

Основна ідея такого підходу полягає у тому, що евристика спочатку розглядає поведінку програми, а потім зіставляє його з характерним для зловмисної атаки, на зразок поведінки троянського коня. Встановити модель поведінки і ухвалити рішення щодо нього можна за допомогою декількох механізмів. Для того, щоб виявити і визначити всі можливі дії програми, використовують два підходи: сканування і емуляція.

Підхід зі скануванням припускає пошук «поведінкових штампів», наприклад, найтиловіших низькорівневих способів відкриття файлів. Або процедура сканування звичайного виконуваного файла проглядає всі місця, де програма відкриває інший файл, і визначає, якого роду файли вона відкриває і що в них записує.

Другий метод визначення поведінки - емуляція. Такий підхід дещо складніший. Програма пропускається через емулятор Windows або макроемулятор Macintosh або Word з метою подивитися, що вона робитиме. Проте виникають питання, тому що в цьому випадку багато що залежить від поведінки вірусів.

Вся хитрість швидкого розпізнавання полягає в поєднанні двох підходів і отриманні найдокладнішого каталогу поведінкових штампів за можливо коротший час. Для перевірки факту зараження файла вірусом фахівці можуть використовувати різні варіанти штучного інтелекту - експертні системи і нейронні мережі.

Недолік евристичного підходу полягає якраз в його евристичності. Завжди є вірогідність, що надзвичайно підозрілий файл насправді абсолютно нешкідливий. Проте останній евристичний механізм Symantec під назвою Bloodhoundдозволяє знайти до 80% невідомих вірусів виконуваних файлів і до 90% невідомих макровірусів. Варто також помітити, що програми-детектори не дуже універсальні, оскільки здатні знайти тільки відомі віруси. Деяким таким програмам можна повідомити спеціальну послідовність байт, характерну для якогось вірусу, і вени зможуть знайти інфіковані ним файли: наприклад, це вміють NotronAntiVirusабо AVP-сканер.

Різновидом сканерів е спеціалізовані програми, орієнтовані на пошук певного типу або сімейства вірусів, наприклад, трояніе, макровірусів та інших (наприклад, Anti-Trojan. TrojanRemover).

Слід зазначити, що використання спеціалізованих сканерів, розрахованих тільки на макровіруси, іноді буває більше зручним і надійним рішенням для захисту документів MSWordі MSExcel.

Де недоліків сканерів варто віднести тільки те, що вони охоплюють далеко не всі відомі віруси й вимагають постійного відновлення антивірусних баз. З огляду на частоту появи нових вірусів і їх короткий життєвий цикл, для використання сканерів необхідно налагодити одержання свіжих версій не рідше одного- двох разів на місяць. В іншому випадку їхня ефективність істотне знижується.

Монітори. Монітори - це різновид сканерів, які. постійно перебуваючи в пам'яті, відслідковують вірусопсдібні ситуації, які відбуваються з диском і пам'яттю (тобто виконують безперервний моніторинг). Прикладом таких антивірусів може бути програма KasperskyAnti-Virusабо SpiDerGuard.

Де недоліків цих програм можна віднести, наприклад, імовірність виникнення конфліктів з іншим програмним забезпеченням!, як і для сканерів - залежність від нових версій вірусних баз, а також можливість їхнього обходу деякими вірусами.

Фаги (пспіфаги) (scanner/cleaner, scaner/remover).Фаги - це програми, здатні не тільки знаходити, але і знищувати віруси, тобто лікувати «хворі» програми (поліфаг може знищити багато вірусів). До поліфагів відкоситься і така стара програма, як Aidstest, яка знаходить і знешкоджує близько 2000 вірусів.

Основний принцип роботи традиційного фага простий і не є секретом. Для кожного вірусу шляхом аналізу його коду, способів зараження файлів і т.д, виділяється деяка характерна тільки для нього послідовність байтів - сигнатура. Пошук вірусів в простому випадку зводиться до пошуку їх сигнатур (так працює будь-який детектор).

Сучасні фаги використовують інші методи пошуку вірусів. Після виявлення вірусу в тілі програми (або завантажувального сектора, який теж містить програму початкового завантаження) фаг знешкоджує його. Для цього розробники антивірусних засобів ретельно вивчають роботу кожного конкретного вірусу: що він псує, як він псує, де він ховає те, що зіпсує (якщо ховає). В більшості випадків фаг може видалити вірус і відновити працездатність зіпсованих програм. Але необхідно добре розуміти, що це можливо далеко не завжди.

Ревізори. Ревізори - це програми, принцип роботи яких заснований на підрахунку контрольних сум для присутніх на диску файлів і системних секторів.

Гірикпадом такого антивірусу може бути програма ADinf32. Ці контрольні суми потім зберігаються в базі даних антивірусу (у таблицях) разом із відповідною інформацією: довжинами файлів, датами їх останньої модифікації і т.д. При наступному запуску ревізори звіряють відомості, що містяться в базі даних, з реально підрахованими значеннями Якщо інформація про файл, записана в базі даних, не збігається з реальними значеннями, то ревізор попереджає про те, що файл, можливо, був змінений або заражений вірусом.

Ревізори, вміють вчасно виявляти зараження комп'ютера практично кожним з існуючих на сьогодні вірусів, ке допускаючи розвитку епідемії, а сучасні версії ревізора вміють негайно видаляти більшість навіть раніше незнайомих їм вірусів.

До недоліків ревізорів можна віднести те, що для забезпечення безпеки вони повинні використовуватися регулярне. Але безсумнівними їхніми перевагами є висока швидкість перевірок і те, що вони не вимагають частого відновлення версій.

Антиеірусні блокувапьники. Антивіруси! блокувг.пьники ~ це резидентні програми, які перехоплюють небезпечні ситуації, і повідомляють про це користувача (наприклад, AVPOfficeGuard). До ситуацій, що відслідковуються, належать, наприклад, відкриття виконуваних файлів для записування і записування в boot- сектори дисків або MBRвінчестера, спроби програми залишитися резидентною і т.д. До речі, відзначені події характерні для вірусів у моменти їх розмноження.

Блокувальники дозволяють обмежити розповсюдження епідемії, поки вірус не буде знищений. Практично всі резидентні віруси визначають факт своєї присутності в пам'яті машини, викликаючи яке-небудь програмне переривання з «хитрими» параметрами.

Навіть якщо деякі файли на комп'ютері містять в собі код вірусу, при використанні блокувальника зараження всієї решти файлів не відбудеться. Для нормальної роботи такої програми необхідно запустити блокувальник раніше всієї решти програми.[11]

Переваги. Антивірусні програми дозволяють зберігати захист від вірусів будь-якого типу. Контролюють різні способи поширення вірусів.

Недоліки. Потужні антивіруси, зазвичай є платними; для кращого захисту вони потребують постійного оновлення.

.2.2 Міжмережевий екран

Міжмережевий екран (Мережевий екран, Фаєрво́л, файрво́л англ. Firewall, буквально «вогняна стіна») - пристрій або набір пристроїв, сконфігурованих, щоб допускати, відмовляти, шифрувати, пропускати через проксі весь комп'ютерний трафік між областями різної безпеки згідно з набором правил та інших критеріїв.

Фаєрвол може бути у вигляді окремого приладу (так званий маршрутизатор або роутер), або програмного забезпечення, що встановлюється на персональний комп'ютер чи проксі-сервер. Простий та дешевий фаєрвол може не мати такої гнучкої системи налаштувань правил фільтрації пакетів та трансляції адрес вхідного та вихідного трафіку (функція редиректу).

В залежності від активних з'єднань, що відслідковуються, фаєрволи розділяють на:(проста фільтрація), які не відслідковують поточні з'єднання (наприклад TCP), а фільтрують потік даних виключно на основі статичних правил;(фільтрація з урахуванням контексту), з відслідковуванням поточних з'єднань та пропуском тільки таких пакетів, що задовольняють логіці й алгоритмам роботи відповідних протоколів та програм. Такі типи фаєрволів дозволяють ефективніше боротися з різноманітними DDoS-атаками та вразливістю деяких протоколів мереж.

Для того щоб задовольнити вимогам широкого кола користувачів, існує три типи фаєрволів: мережного рівня, прикладного рівня і рівня з'єднання. Кожен з цих трьох типів використовує свій, відмінний від інших підхід до захисту мережі.

Фаєрвол мережного рівня представлений екрануючим маршрутизатором. Він контролює лише дані мережевого і транспортного рівнів (див.Модель OSI) службової інформації пакетів. Мінусом таких маршрутизаторів є те, що ще п'ять рівнів залишаються неконтрольованими. Нарешті, адміністратори, які працюють з екрануючими маршрутизаторами, повинні пам'ятати, що у більшості приладів, що здійснюють фільтрацію пакетів, відсутні механізми аудиту та подачі сигналу тривоги. Іншими словами, маршрутизатори можуть піддаватися атакам і відбивати велику їх кількість, а адміністратори навіть не будуть проінформовані.

Фаєрвол прикладного рівня також відомий як проксі-сервер (сервер-посередник).Фаєрволи прикладного рівня встановлюють певний фізичний поділ між локальною мережею і Internet, тому вони відповідають найвищим вимогам безпеки. Проте, оскільки програма повинна аналізувати пакети і приймати рішення щодо контролю доступу до них, фаєрволи прикладного рівня неминуче зменшують продуктивність мережі, тому в якості сервера-посередника використовуються більш швидкі комп'ютери.

Фаєрвол рівня з'єднання схожий на фаєрвол прикладного рівня тим, що обидва вони є серверами-посередниками. Відмінність полягає в тому, що фаєрволи прикладного рівня вимагають спеціального програмного забезпечення для кожної мережевої служби на зразок FTP або HTTP. Натомість, фаєрволи рівня з'єднання обслуговують велику кількість протоколів.

Переваги. Дозволяє фільтрувати мережевий трафік, запобігає проникненню вірусів через Інтернет.

Недоліки. Досить хороші і потужні фаєрволи є платними і не дозволяють контролювати поширення вірусвіз змінних носіїв інформації.

.2.3 Шифрування даних

Для захисту інформації у мережі також використовується шифрування. В основу шифрування покладено два елементи: криптографічний алгоритм і ключ. кібератака черв'як несанкціонований шифрування

Криптографічний алгоритм - математична функція, яка комбінує відкритий текст або іншу зрозумілу інформацію з ланцюжком чисел (ключем) з метою отримати незв'язний (шифрований) текст Новий алгоритм важко придумати, але один алгоритм можна використовувати з багатьма ключами. Існують ще спеціальні криптографічні алгоритми, які не використовують ключів.

Шифрування з ключем має дві переваги.

Новий алгоритм шифрування описати важко, і навряд чи хтось захоче це робити щоразу під час відправлення таємного повідомлення новому респонденту. Використовуючи ключ, можна застосовувати той самий алгоритм для відправлення повідомлень різним людям. Головне - закріпити окремий ключ за кожним респондентом.

Якщо хтось «зламає» зашифроване повідомлення, щоб продовжити шифрування інформації, достатньо лише змінити ключ. Переходити на новий алгоритм не потрібно (якщо був «зламаний» ключ, а не сам алгоритм). Чим більше комбінацій, тим важче підібрати ключ і переглянути зашифроване повідомлення.

Надійність алгоритму шифрування залежить від довжини ключа.

Довжина ключа - кількість біту ключі, яка визначає число можливих комбінацій.

Основні види алгоритмів шифрування - симетричні й асиметричні. Симетричні методи шифрування зручні тим, що для забезпечення високого рівня безпеки передачі даних не потрібно створення ключів великої довжини. Це дозволяє швидко шифрувати і дешифрувати великі обсяги інформації. Разом з тим, і відправник, і одержувач інформації володіють одним і тим же ключем, що робить неможливим аутентифікацію відправника. Крім того, для початку роботи із застосуванням симетричного алгоритму сторонам необхідно безпечно обмінятися секретним ключем, що легко зробити при особистій зустрічі, але дуже важко при необхідності передати ключ через будь-які засоби зв'язку.

Принципово новий підхід до здійснення електронних платежів сьогодні полягає в негайній авторизації і шифруванні фінансової інформації в мережі Інтернет з використанням протоколів SSL (SecureSocketsLayer) та SET (SecureElectronicTransaction). Протокол SSLприпускає шифрування інформації на канальному рівні, а протокол SET, розроблений компаніями VISA, MasterCardта інші, - шифрування виключно фінансової інформації. Оскільки мережа Інтернет розрахована на одночасну роботу мільйонів користувачів, то в комерційних додатках «у чистому вигляді» неможливо використовувати ні традиційні системи, засновані виключно на «закритих ключах» (DES, ГОСТ 28147-89 та ін.), ні методи шифрування тільки на «відкритих ключах», в тому числі і російський стандарт електронного підпису.

Для безпеки електронної комерції розроблено низку протоколів і програмних застосувань, які називаються криптографічні методики. Крім того, всупереч думці про Інтернет як про ненадійний носій інформації через його децентралізацію, трансакції тут можуть бути добре захищені шляхом використання багатьох стандартів, які охоплюють усі рівні мережі - від пакета даних до програмного застосування. Стандарти забезпечують захист сполучень і програмних застосувань.

Застосування одних закритих ключів неможливо у зв'язку з тим, що розкриття (перехоплення) навіть одного ключа відразу ж приведе до «злому» усієї системи захисту. Тому при реалізації електронної комерції в Інтернет разом з системами шифрування за допомогою закритих ключів використовуються системи шифрування за допомогою відкритих ключів. Це пов'язано з тим, що шифрування лише відкритими ключами вимагає великих витрат обчислювальних ресурсів. Тому краще всього шифрувати інформацію, передану по мережах, за допомогою закритого ключа, який генерується динамічно та передається іншому користувачу зашифрованим з допомогою відкритого ключа. Така система шифрування буде працювати і швидше, і надійніше.

Також для захисту інформації використовують протоколи. Ці протоколи можна класифікувати відповідно до того, що саме вони захищають - сполучення чи програми. S-HTTP - захищений HTTP-протокол, розроблений компанією Enterprise IntegrationTechnologies(EIT) спеціально для Web. Він дає змогу забезпечити надійний криптозахист тільки для НТТР-документів web-сервера. Його використання неможливе для захисту інших прикладних протоколів (FTP, TELNET, SMTPтощо). S-HTTPпризначений насамперед для підтримки протоколу передачі гіпертексту (HTTP), забезпечує авторизацію і захист web-документів. SSL- розробка компанії Netscape- пропонує ті ж самі засоби захисту, але для комунікаційного каналу.

Канал - лінія зв'язку між двома вузлами мережі або вузлом і одним з його абонентів.

За SSLкодування інформації здійснюється на рівні порту.

Порт - ідентифікаційний номер, який відповідає кожному програмному застосуванню або процесу, що використовують базовий протокол InternetTCPяк транспортний.

Захист електронної пошти. Для захисту електронної пошти в Інтернет існує безліч різноманітних протоколів, але лише кілька з них поширені.

РЕМ (PrivacyEnhancedMail). Це стандарт Інтернет для захисту електронної пошти з використанням відкритих або симетричних ключів. Він застосовується усе рідше, оскільки не призначений для оброблення нового МІМЕ-формату електронних повідомлень і вимагає жорсткої ієрархії сертифікаційних центрів для видачі ключів./MIME. Відносно новий стандарт, у якому задіяно багато криптографічних алгоритмів, запатентованих і заліцензійованих компанією RSADataSecurityInc, S/MIMEвикористовує цифрові сертифікати і, отже, при забезпеченні автентифікації спирається на використання сертифікаційного центру.(PrettyGoodPrivacy), Це родина програмних продуктів, які використовують найстійкіші криптографічні алгоритми. В їх основу покладено алгоритм RSA, PGPреалізує технологію, відому як криптографія з відкритими ключами, яка дає змогу обмінюватися зашифрованими повідомленнями і файлами каналами відкритого зв'язку без наявності захищеного каналу для обміну ключами, а також накладати на повідомлення й файли цифровий підпис.

Переваги. Цей метод дозволяє ефективно зберігати конфіденційність інформації, не потребує додаткових коштів.

Недоліки. Існує велика скаладність при розшифровуванні інформації, проблема шифрвання ключів.

Висновок. В цьому розділі ми розглянули основні засоби захисту інформації від кібератак. Вияснили, що існують апаратні і програмні засоби захисту. Провели детальний аналіз кожного способу захисту і виділели недоліки і переваги кожного із них.

.АЛГОРИТМ ЗАХИСТУ ВІД DOS-АТАК

3.1 Розробка алгоритму

В зв’язку значним розвитком мережі Інтернет, з’явилося багато бажаючих, які намагаються різними методами нашкодити користувачам цієї глобальної мережі. Таким чином з’явився такий тип атаки, як Dos-атака.Одним із найпоширеніших методів нападу є насичення атакованого комп'ютера або мережевого устаткування великою кількістю зовнішніх запитів (часто безглуздих або неправильно сформульованих) таким чином атаковане устаткування не може відповісти користувачам, або відповідає настільки повільно, що стає фактично недоступним.

збільшення черги «напіввідкритих» tcp-з'єднань;

зменшення часу утримання «напіввідкритих» з'єднань:

включення механізму TCP syncookies;

обмеження максимального числа «напіввідкритих» з'єднань з одного IPдо конкретного порту.

Для дипломної роботи я вирішим створити алгоритм,який допоможе відсторонитися від такого типу загрози. Суть цього алгоритму полягає в наступному:

Адміністратор або користувач в невеличкій панелі вказує кількість записів часу зверення до сервера та мінімально дозволений інтервал між всіма ними з точністю до мсек.І якщо перевищується інтервал часу між N записами,то ip блокується через .htaccess

Наприклад:

Кількість записів: 5

Інтервал: 0.5

Між 5 записами часу звернення до сервера перевіриться інтервал і якщо він скрізь буде менше 0.5 сек.,то IP користувача блокується записом в .htaccess, видаючи користувачеві з цим IP помилку 403,що значно знижує навантаження на сервер/хост.

Працює на файлах,звернення пишуться в окремі файли для кожного IP.

Якщо IP попадає в файл блокування,то файл логування для нього видаляється,щоб не засмічувати пам'ять.

Для кращого розуміння алгоритму складемо блок-схему. Блок-схема алгоритму показана на рис.5.

Рис.5 Алгоритму головного модуля

Новизною цього алгоритму є те що він автоматично поширюється на кожного користувача комп’ютерної системи і не дозволяє йому здійснювати багато запитів до сервера,щоб не перевантажувати його. Подібним чином працюють і брендмаувери і фаєрволи, проте вони здійснють повний контроль трафіка в мережі, що значно зменшує продуктивність комп’ютера і навантажує його ресурси. А даний алгоритм забезпечує той самий ефект захисту потребуючи менше ресурсів.

3.2 Реалізація алгоритму

Після скаладання алгоритму захисту нам необхідно його реалізувати на мові програмування. В нашому випадку ми використаємо об’єктно-орієнтовану мову «PHP». Код програмного модуля складатиметься з двох частин. Перша частина являтиме собою форму користувача, а друга, безпосередньо алгоритм захисту. Розглянемо першу частину детально.

<?php

(string) $MyPassword = 'VTrim';

if($_GET['password']) {

if($MyPassword == $_GET['password']) {

if($_POST['save'])

{

(int)$interv = (float)$_POST['interv'];

(int)$lim = (int)$_POST['lim'];_put_contents($_SERVER['DOCUMENT_ROOT'].'/ip_admin/interv.dat',$interv);_put_contents($_SERVER['DOCUMENT_ROOT'].'/ip_admin/lim.dat',$lim);'Дані збережені!<br>';

}'<form method="POST">

Дозволенийінтервалміжзапитами:

<br>

<input type="text" name="interv" value="'.file_get_contents('interv.dat').'"> сек.

<br>Ліміт запитів для перевірки:<br>

<input type="text" name="lim" value="'.file_get_contents('lim.dat').'">

<br>

<input type="submit" name="save" value="Зберегти">';

}

{ 'Невірний пароль!';

}

}

{'<table border=1><td>

<form method="GET">

Введіть пароль: <input type="password" name="password">

<input type="submit" value="Увійти">

</form>

</td></table>';

}

?>

Даний код являє собою форму користувача. Тут користувач може вводити кількість максимальних запитів, дозволених здійснювати з даної ІР-адреси, а також інтервал між запитами.

Далі розглянемо код алгоритма захисту.

<?php('_ROOT_',$_SERVER['DOCUMENT_ROOT']);('_IP_',$_SERVER['REMOTE_ADDR']);('_INTERV_',file_get_contents(_ROOT_.'/ip_admin/interv.dat'));_exists(_ROOT_.'/ip_logs/'._IP_.'.dat') || file_put_contents(_ROOT_.'/ip_logs/'._IP_.'.dat',null);

(array) $lIP = file(_ROOT_.'/ip_logs/'._IP_.'.dat');

(int) $cIP = count($lIP);($cIP >= file_get_contents(_ROOT_.'/ip_admin/lim.dat'))

{($i=0; $i<$cIP; ++$i)

{

(string) $cVal .= round(($lIP[$i+1] - $lIP[$i]),4) < _INTERV_ ? 'd' : 'n';

}

(string) $nVal = substr($cVal,0,strlen($cVal)-1);(!strstr($nVal,'n'))

{ _put_contents(_ROOT_.'/.htaccess',PHP_EOL.'deny from '._IP_.PHP_EOL,FILE_APPEND);(_ROOT_.'/ip_logs/'._IP_.'.dat');('Ваш IP заблоковано!');

}_put_contents(_ROOT_.'/ip_logs/'._IP_.'.dat',null);

}_put_contents(_ROOT_.'/ip_logs/'._IP_.'.dat',microtime(true).PHP_EOL,FILE_APPEND);

?>

Цей алгоритм виконується коли відбувається перевищення заданих запитів і інтервалів між ними. В результаті ІР-адреса з якої відбуваються перевищення блокується і записується у файл із заблокованими ІР, а користувач отримує помилку 403. Завдяки цьому, зловмисник, який проникнув на віддалений комп’ютер не зможе використовувати його для проведення DOS-атаки.

Розглянемо приклад виконання програми з вхідними даними. Скріншот програми показаний на рисунку 6.

Рис.6. Скріншот програми

Після введення даних, якщо все добре ми зможемо користуватися комп’ютером і відправляти запити до сервера. Якщо ж ліміт запитів буде перевищувати заданий, то ми отримуємо повідомлення що наш ІР заблоковано. (див. рис.7)

Рис.7. Вікно блокування

ВИСНОВОК

В результаті виконання дипломної роботи можна зробити тереотичні та практичні висновки.

В ході розвитку інформаційних технологій і поширення мережі інтернет значно знизилась безпека особистих даних. З кожним роком збільшується кількість кібератак спрямованих, як на великі посадові особи. Так і на простих користувачів мережі. Ці події значно знижують рівень конфіденційності даних і породжує до великих матеріальних і моральних втрат. На сьогоднішій час існує чимало дієвих методів здійснення кібератак, які дозволяють спрямовувати злочини не тільки проти незахищених користувачів, а навіть проти цілої держави, цим самим завдаючи її великих збитків.

В ході виконання роботи, мною було, також розроблено власний алгоритм запобігання здійснення DOS-атак. Суть методу базується на обмеженні кількості запитів звернення до сервера і їх інтервалі.

Отже, можна зробити висновок, що кібератаки є досить потужним і поширеним видом злочину в світі і не існує стовідсоткового захисту від нього.

ЛІТЕРАТУРА

Беляков К. Інформація організаційно-правової сфери /К.Беляков // Право України. - 2004. -№ 6. - С. 88-92.

Климчук С. Загальна характеристика законодавства про інформаційну безпеку ЄС, США та Канади / С.Климчук // Юстініан, 2006. - № 11. -132

Климчук С. Проведення порівняльного аналізу законодавства у сфері інформації з обмеженим доступом України та країн-членів НАТО / С.Климчук // Юстиніан, 2007. - №4. -

Российское законодательство в области защиты информации.

Федеральний Закон «Об информации, информатизации и защите информации», от 25.01.1995г.

Закон Российской Федерации «Об участии в международном информационном обмене» от 5.06.1996 г. N 85-ФЗ.

Постановление Правительства РФ «О сертификации средств защиты информации», от 6.06.1995 г. № 608.i JavaScript - СПб.:Питер, 2011. - 496 с.

Таллинский учебник по международному законодательству применимому к кибервойне - Майкл Шмитт. - 257 с.