Вирусы и другие вредоносные программы

Серверы рассылки спама

Спам, или нежелательные электронные сообщения, будет подробно рассматриваться дальше. Здесь мы остановимся лишь на средствах рассылки непрошеных сообщений.

Чтобы избежать ответственности за рассылку спама, злоумышленники не рассылают письма со своего компьютера. Они предпочитают заразить компьютеры других пользователей Интернета специальным "троянцем", который превратит чужой ПК в сервер рассылки спама. Злоумышленнику останется лишь указать троянской программе, какое письмо и по каким адресам следует рассылать. Ответственность за эти незаконные действия будет нести легальный пользователь зараженного компьютера.

На практике одного сервера рассылки спама преступнику не хватает, ему требуется целая сеть зараженных компьютеров. Такие сети управляемых злоумышленником компьютеров называют сетями зомби-машин или просто зомби-сетями. В типичную зомби-сеть входит около 3 тыс. компьютеров, находящихся по всему миру.

Чтобы заразить большое число компьютеров и превратить их в серверы рассылки спама, преступники комбинируют различные виды вредоносных кодов. Чаще всего объединяют сетевых червей и "троянцев". Сетевые черви распространяются очень быстро, что позволяет заразить довольно много компьютеров, а при попадании на машину-жертву червь не только рассылает повсюду свои копии, но и устанавливает "троянца", который, собственно, и превращает зараженный компьютер в зомби.

Многокомпонентные "троянцы"-загрузчики

Многокомпонентность таких вредоносных кодов заключается в том, что после заражения нового компьютера они переписывают из Интернета другой вредоносный код и внедряют его в систему. Например, червь из предыдущего примера, который превращает компьютер в зомби, может не нести на себе "троянца", а переписать его из Интернета уже после того, как ему самому удастся заразить компьютер.

Различают компоненты разного уровня. Например, если "троянец" перепишет из сети другой вредоносный код, то это уже будет компонент второго уровня. Иногда бывает, что компонент второго уровня сам скачивает и внедряет еще одного паразита. Это уже компонент третьего уровня.

Административные меры борьбы с вирусами

Говоря о степени ответственности антивирусной защиты, требуется разделять корпоративные и частные системы. Если речь идет об информационной безопасности организации, то необходимо позаботиться не только о технических (программных и аппаратных) средствах, но и об административных.

Если в некоторой компании есть сеть, не связанная с Интернетом, то вирус извне туда не проникнет, а чтобы вирус случайно не попал в корпоративную сеть изнутри, можно просто не давать пользователям возможности самостоятельно считывать носители информации, такие как CD-диски, USB-флэш или выходящие из употребления дискеты. Например, если кому-то из сотрудников необходимо считать что-либо с CD, он должен обратиться к администратору, который имеет право установить CD и считать данные. При этом за проникновение вирусов с этого CD уже несет ответственность администратор.

При нормальной организации безопасности в офисе именно администратор контролирует установку любого ПО; там же, где сотрудники бесконтрольно устанавливают софт, в сети рано или поздно появляются вирусы.

Большинство случаев проникновения вирусов в корпоративную сеть связано с выходом в Интернет с рабочей станции. Существуют режимные организации, где доступ к Интернету имеют только неподключенные к корпоративной сети станции. В коммерческих организациях такая система неоправданна. Там Интернет-канал защищается межсетевым экраном и прокси-сервером, о принципах работы которых будет сказано позднее. Во многих организациях разрабатывается политика, при которой пользователи имеют доступ лишь к тем ресурсам Интернета, которые нужны им для работы.

Конечно, поддержка политики жесткого разграничения прав доступа требует дополнительных инвестиций, а в ряде случаев приводит к замедлению выполнения некоторых работ. Поэтому каждая компания должна искать для себя разумный компромисс, сопоставляя финансовые потери от порчи информации и замедления бизнес-процессов. В ситуации, когда документы содержат важные стратегические данные, например государственную тайну, именно степень ущерба в случае разглашения тайны определяет бюджет на меры безопасности.

Помимо антивирусной защиты важно не забывать о таком важном средстве защиты данных, как система резервного копирования. Резервное копирование является стратегическим компонентом защиты данных. Если данные уничтожены вирусом, но у администратора есть вовремя сделанная резервная копия, потери будут минимальными.