Информационная безопасность — практика предотвращения несанкционированного доступа, использования, раскрытия, искажения, изменения, исследования, записи или уничтожения информации.
Термин «вредоносное ПО» используется для описания любой вредоносной программы на компьютере или мобильном устройстве. Эти программы устанавливаются без согласия пользователей и могут вызывать ряд неприятных последствий, таких как снижение производительности компьютера, извлечение из системы персональных данных пользователя, удаление данных или даже воздействие на работу аппаратных средств компьютера. Поскольку киберпреступники придумывают все более сложные способы проникновения в системы пользователей, рынок вредоносных программ существенно расширился. Давайте рассмотрим некоторые из наиболее распространенных типов вредоносных программ, которые можно встретить в интернете.
Вирусы. Компьютерные вирусы получили свое название за способность «заражать» множество файлов на компьютере. Они распространяются и на другие машины, когда зараженные файлы отправляются по электронной почте или переносятся пользователями на физических носителях, например, на USB-накопителях. По данным Национального института стандартов и технологий (NIST), первый компьютерный вирус под названием «Brain» был написан в 1986 году двумя братьями с целью наказать пиратов, ворующих ПО у компании. Вирус заражал загрузочный сектор дискет и передавался на другие компьютеры через скопированные зараженные дискеты.
Черви. В отличие от вирусов, червям для распространения не требуются вмешательства человека: они заражают один компьютер, а затем через компьютерные сети распространяются на другие машины без участия их владельцев. Используя уязвимости сети, например, недостатки в почтовых программах, черви могут отправлять тысячи своих копий и заражать все новые системы, и затем процесс начинается снова. Помимо того, что многие черви просто «съедают» системные ресурсы, снижая тем самым производительность компьютера, большинство из них теперь содержит вредоносные «составляющие», предназначенные для кражи или удаления файлов.
Рекламное ПО. Одним из наиболее распространенных типов вредоносных программ является рекламное ПО. Программы автоматически доставляют рекламные объявления на хост-компьютеры. Среди разновидностей Adware - всплывающие рекламные объявления на веб-страницах и реклама, входящая в состав «бесплатного» ПО. Некоторые рекламные программы относительно безвредны, в других используются инструменты отслеживания для сбора информации о вашем местонахождении или истории посещения сайтов и вывода целевых объявлений на экран вашего компьютера. BetaNews сообщил об обнаружении нового типа рекламного ПО, который может отключить антивирусную защиту. Поскольку Adware устанавливается с согласия пользователя, такие программы нельзя назвать вредоносными: обычно они идентифицируются как «потенциально нежелательные программы».
Шпионское ПО. Шпионское ПО делает то, что предполагает его название - следит за вашими действиями на компьютере. Оно собирает информацию (например, регистрирует нажатия клавиш на клавиатуре вашего компьютера, отслеживает, какие сайты вы посещаете и даже перехватывает ваши регистрационные данные), которая затем отправляется третьим лицам, как правило, киберпреступникам. Оно также может изменять определенные параметры защиты на вашем компьютере или препятствовать сетевым соединениям.
Программы-вымогатели. Программы-вымогатели заражают ваш компьютер, затем шифруют конфиденциальные данные, например, личные документы или фотографии, и требуют выкуп за их расшифровку. Если вы отказываетесь платить, данные удаляются. Некоторые типы программ-вымогателей могут полностью заблокировать доступ к вашему компьютеру. Они могут выдавать свои действия за работу правоохранительных органов и обвинить вас в каких-либо противоправных поступках. В июне 2015 года в Центр приёма жалоб на мошенничество в Интернете при ФБР обратились пользователи, сообщившие о финансовых потерях на общую сумму 18 000 000 долларов в результате деятельности вируса-вымогателя CryptoWall.
Боты. Боты - это программы, предназначенные для автоматического выполнения определенных операций. Они могут использоваться для легитимных целей, но злоумышленники приспособили их для своих вредоносных целей. Проникнув в компьютер, боты могут заставить его выполнять определенные команды без одобрения или вообще без ведома пользователя. Хакеры могут также пытаться заразить несколько компьютеров одним и тем же ботом, чтобы создать бот-сеть, которая затем будет использоваться для удаленного управления взломанными машинами - красть конфиденциальные данные, следить за действиями жертвы, автоматически распространять спам или запускать разрушительные DDoS-атаки в компьютерных сетях.
Руткиты. Руткиты позволяют третьей стороне получать удаленный доступ к компьютеру и управлять им. Эти программы используются IT-специалистами для дистанционного устранения сетевых проблем. Но в руках злоумышленников они превращаются в инструмент мошенничества: проникнув в ваш компьютер, руткиты обеспечивают киберпреступникам возможность получить контроль над ним и похитить ваши данные или установить другие вредоносные программы. Руткиты умеют качественно маскировать свое присутствие в системе, чтобы оставаться незамеченными как можно дольше. Обнаружение такого вредоносного кода требует ручного мониторинга необычного поведения, а также регулярного внесения корректировок в программное обеспечение и операционную систему для исключения потенциальных маршрутов заражения.
Троянские программы. Более известные как троянцы, эти программы маскируются под легитимные файлы или ПО. После скачивания и установки они вносят изменения в систему и осуществляют вредоносную деятельность без ведома или согласия жертвы.
Клавиатурный шпион относится к наиболее опасным вредоносным приложениям. Через него хакеры могут получить любую конфиденциальную информацию, в том числе платежные данные пользователя. Современные вредоносные программы, как правило, состоят из нескольких компонентов, каждый из которых имеет свою задачу. Такой софт больше всего напоминает швейцарский армейский нож, а не набор отдельных инструментов, что дает злоумышленнику возможность выполнять множество различных действий на атакованной системе. Один из компонентов, часто присутствующих при такой атаке, – это кейлоггер, узкоспециализированный инструмент, записывающий все нажатия клавиш. Именно с помощью этого инструмента злоумышленник может незаметно завладеть огромным количеством конфиденциальной информации, оставаясь незамеченным. Кейлоггером является любой компонент программного обеспечения или оборудования, который умеет перехватывать и записывать все манипуляции с клавиатурой компьютера. Нередко кейлоггер находится между клавиатурой и операционной системой и перехватывает все действия пользователя. Этот инструмент либо хранит перехваченную информацию на зараженном компьютере, либо, если является частью более крупной атаки, все данные сразу передаются на удаленный компьютер организаторов атаки.
Хотя существует большое разнообразие вариантов кейлоггеров, но основное деление производится на программные и аппаратные. Чаще всего применяется программный кейлоггер, который является частью вредоносной программы, такой как троян или руткит. Как правило, это и более простой вариант получения доступа к интересующей системе без физического вмешательства. Один из самых распространенных типов программных кейлоггеров умеет разворачивать на целевой машине готовый API, записывающий каждое нажатие клавиш. Пример кода на C# для шпинского программного обеспечения можно найти здесь.
Для обеспечения безопасности пользователей в большинстве современных продуктов защиты реализовано несколько технологий, что позволяет противостоять самым разнообразным действиям злоумышленников, таким как шпионаж, кейлоггинг, кража учетных данных, несанкционированный майнинг криптовалюты, нежелательное шифрование файлов (с помощью программ-вымогателей), извлечение информации (с помощью банковских троянов), спам и мошенничество, а также другим формам кибератак.
Антивирус — это средство защиты оборудования с программным обеспечением от вредоносного кода (вирусов), который модифицируют файлы с целью максимального распространения и нарушения штатной работы операционной системы и приложений. Антивирус загружается на устройство с операционной системой в качестве программы или комплекса программных инструментов и обнаруживает вмешательство вредоносного кода в файловую систему извне, а затем блокирует модифицированные файлы (помещает в карантин) и либо удаляет их, либо исправляет согласно обновляемой через интернет базе данных профилей для известных угроз. Функциональность и возможности антивируса зависят от его технического совершенства, поэтому надёжность защиты оборудования во многом зависит от выбора наиболее эффективного продукта.
Типы методов защиты
Сканирование. Чаще всего это нерезидентные инструменты (запускаются пользователем вручную), которые выполняют сканирование оперативной памяти, жёсткого диска, SSD и внешних носителей для выявления вирусов. Обнаруженный код сравнивается с профилями из своей базы известных угроз, из-за чего её важно регулярно обновлять.
Лечение. Используется в большинстве антивирусов. В ИТ-отрасли метод называется «Фаг» или «Полифаг» и позволяет найти заражённый файл, а затем вылечить (восстановить исходное состояние) вместо удаления. Код сравнивается с сохранёнными в базе угроз профилями, как при сканировании.
Иммунизация. Антивирус блокирует определённые системные каталоги, записи в реестре и жизненно-важные ресурсы операционной системы для изменения сторонними программами. Метод требует подтверждения действий вручную, либо создания списка доверенных источников модификации.
Компарирование. Другими словами, ревизия существующих файлов. Антивирус фиксирует состояние системы (путём запоминания исходного кода файлов в системных каталогах) и выполняет сравнение в случае подозрительных операций.
Мониторинг. Метод характеризуется фоновой работой антивируса с перманентной защитой от пассивной угрозы вредоносного кода и его выявления путём безостановочного сканирования файловой системы.
Фильтрация. В большинстве случаев это резидентный инструмент в антивирусе, запускаемый одновременно с операционной системой для обнаружения вредоносного кода до того, как он начал свою активность и распространение.
В зависимости от типа угрозы (известная или неизвестная конкретному ПО) антивирус может осуществить проактивную или реактивную защиту:
Проактивная защита (эвристика). Защита от неизвестных вирусов, основанная на изучении кода и поведения программ, характерных для вредоносного ПО. Такой тип защиты показывает лучший результат при борьбе с модифицированными вирусами. За основу принимаются данные об уже существующих угрозах.Эвристика в антивирусном контексте — набор правил, которые используются для обнаружения действий вредоносных программ без необходимости определения конкретной угрозы.
Реактивная защита (вирусная сигнатура). Защита от уже известных вирусов, основанная на информации о коде и остальных особенностях вредоносного ПО. Для максимально эффективной работы такие антивирусы должны постоянно обновлять свои базы данных вирусных сигнатур.Защита, основанная на вирусных сигнатурах подразумевает обращение к словарю с уже известными вирусами, которые составили разработчики антивирусного ПО.
Главный недостаток проактивной защиты — так называемые «ложные срабатывания», частые блокировки незараженного программного обеспечения. Минус реактивной защиты — невозможность защититься от новых угроз. В современном антивирусном ПО используется и проактивная, и реактивная защита.