Разрушающие программные средства - программные средства, относящиеся хотя бы к одному из трёх классов программ с потенциально опасными последствиями.
Классы программ с потенциально опасными последствиями:
- классические деструктивные программы - "вирусы";
- программы типа "программный червь" или "троянский конь" и фрагменты программ типа "логический люк";
- программные закладки или руткиты (rootkit).
Функции, выполняемые потенциально опасным ПО:
- скрытие признаков своего присутствия в программной среде;
- реализация самодублирования, ассоциирование себя с другими программами, перенос своих фрагментов в различные области памяти, не занимаемые изначально;
- разрушение или искажение кода программ компьютерной памяти;
- перенос фрагментов информации, не относящейся к деятельности этой программы, в различные участки компьютерной памяти, в том числе и расположенные удалённо;
- потенциально может заблокировать или подменить вводимый в канал связи массив информации, образующийся в результате работы прикладных программ компьютера или уже находящийся в оперативной памяти.
Правовые регуляторы, запрещающие применение вредоносных программ
Одним из главных источников правовых норм безопасности информационной среды в России является Конституция, далее следуют нормы Уголовного кодека РФ. Глава 28 УК РФ посвящена теме преступлений в сфере компьютерной информации, с содержит несколько статей:
- Статья 272. Неправомерный доступ к компьютерной информации;
- Статья 273. Создание, использование и распространение вредоносных компьютерных программ;
- Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей;
- Статья 274_1. Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации.
Цивилизованным гражданам рекомендуется ознакомиться с вышеуказанными статьями.
Для того, чтобы получить расширенное представление о том, что такое несанкционированный доступ к данным (НСД) можно прочитать Руководящий документ ФСТЭК РФ, утверждённый решением Председателя Гостехкомиссии РФ от 30 марта 1992 г. "Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации".
Действия программ-злоумышленников, как правило, соответствуют определённым моделям.
Модели взаимодействия программы-злоумышленника на прикладное ПО
- модель "Перехват" - встраиваясь в прикладное ПО, закладка сохраняет в скрытых или удалённо доступных разделах памяти все, или избранные фрагменты вводимой/выводимой информации, в том числе и с клавиатурного ввода;
- модель "Наблюдатель" - осуществляет контроль процесса обработки информации на компьютере, закладка может инициировать события для модели "Троянский конь";
- модель "Троянский конь" - закладка, встраиваясь в программную среду, по некоторому событию активизируется и совершает разрушительные действия;
- модель "Компрометация" - закладка передаёт установленную злоумышленником информацию в канал связи от "лица" прикладного приложения или осуществляет постоянное обращение к ценной информации усиливая сигнал/шум для более чёткого перехвата побочных излучений работы компьютера;
- модель "Уборка мусора" - навязывается такой порядок работы, максимизирующий количество остающихся фрагментов ценной информации для их дальнейшего изъятия;
- модель "Искажение или инициатор ошибок" - искажает потоки данных и инициирует ошибки работы прикладных программ.
Классификация разрушающих программных средств
РПС классифицируются по методу внедрения и месту их применения:
- ассоциированные с программно-аппаратной средой компьютера (BIOS, расширенные BIOS);
- ассоциированные с программами первичной загрузки (Master Boot Record, BOOT-секторы активных разделов);
- ассоциированные с загрузкой драйверов DOS, сетевых драйверов, то есть с загрузкой операционной среды;
- ассоциированные с прикладным ПО общего назначения;
- исполняемые модули, содержащие только код закладки;
- модули-имитаторы;
- маскируемые под ПО игрового назначения;
- маскируемые под ПО развлекательного назначения;
- маскируемые под ПО оптимизационного назначения.
РПС имеют средства борьбы с отладчиками и дизассемблерами и для начала своей деструктивной деятельности должны получить управление.
Компьютерные вирусы как РПС
В России существует Национальный стандарт утверждённый ГОСТ Р 51188-98 Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство.
В этом ГОСТе определяется порядок проведения испытаний программных средств на наличие компьютерных вирусов, а также описываются методы проведения таких испытаний.
Документ содержит перечень требований к документации на испытания, список определений и сокращений и пояснения о возможностях различных методов обнаружения и устранения компьютерных вирусов.
Общую классификацию вирусов можно выразить в следующей схеме:
В качестве небольшого отступления можно сказать, что подготавливать описательные материалы по компьютерным вирусам - это то же самое, что описывать обычный человеческий мир с его биологическими законами.
У человека есть такая особенность, по которой он стремиться выразить всё окружающее его пространство в техническом виде и ничего более того, что уже создано природой создать в компьютерных моделях не может.
Специалист по компьютерной безопасности может спросить у микробиолога о биологических вирусах и в принципах узнает свою техническую специфику.
Так, что если хотите больше узнать о компьютерном мире, интересуйтесь реальным миром с его физическими и биологическими законами.
3 сентября 2018 года (редакция текста 27 декабря 2019 года).
автор: юрист Демешин Сергей Владимирович.
Участвуйте в обсуждении, пройдите опрос об интересных темах будущих публикаций (ссылка опроса в описании канала, также в описании указаны правила комментирования публикаций).