Хакеры

Ха́кер (англ. hacker, от to hack — рубить, кромсать) — многозначный термин в области вычислительной техники и программирования.

Хакер – квалифицированный ИТ-специалист, который разбирается в работе компьютерных систем. Хакеров очень часто путают с крэкерами – компьютерными взломщиками.

Изначально хакерами называли программистов, которые исправляли ошибки в программном обеспечении каким-либо быстрым и далеко не всегда элегантным (в контексте используемых в программе стиля программирования и её общей структуры, дизайна интерфейсов) или профессиональным способом; слово hack пришло из лексикона хиппи, в русском языке есть идентичное жаргонное слово «врубаться» или «рубить в …».

Начиная с конца XX века наиболее известное значение — «компьютерный взломщик», программист, намеренно обходящий системы компьютерной безопасности.

В последнее время понятие «хакер» используется для определения сетевых взломщиков, создателей компьютерных вирусов и других киберпреступников.

Во многих странах взлом компьютерных систем, хищение информации, создание и распространение компьютерных вирусов и вредоносного программного обеспечения преследуется законом. Согласно международным законам по борьбе с киберпреступностью взломщики подлежат экстрадиции подобно военным преступникам.

Часто IT-хакеров классифицируют на разные виды, из которых двумя основными являются White hat (англ.)русск. (с англ. — «белая шляпа») и Black hat (англ.)русск. (с англ. — «чёрная шляпа»). Черными шляпами называют киберпреступников, тогда как белыми шляпами прочих специалистов по информационной безопасности (в частности специалистов, работающих в крупных IT-компаниях) или исследователей IT-систем, не нарушающих закон. В случаях, например, мелких нарушений законодательства или отсутствия нарушений законодательства, но нарушения внутренних правил какого-либо интернет-сервиса может использоваться термин Grey hat (англ.)русск. (с англ. — «серая шляпа»).

Термин скрипт-кидди означает взломщика или киберпреступника, использующего чужие наработки (например, покупающего их), но не понимающих механизма их реализации и которого к хакерам, как правило, не относят.

По мнению экспертов, хакеры могут состоять на военной службе и заниматься взломом систем безопасности с целью разведки и / или диверсий. Так, по сведениям финской компании F-Secure и данным российской компании «Лаборатория Касперского», хакерская группировка The Dukes, предположительно атаковавшая вирусами компьютерные системы в НАТО, США и Центральной Азии (начиная с 2008 года), работает в интересах правительства России

В среде хакеров принято ценить время своё и других хакеров («не изобретать велосипед»), что, в частности, подразумевает необходимость делиться своими достижениями, создавая свободные и/или открытые программы.

В России, Европе и Америке взлом компьютеров, уничтожение информации, создание и распространение компьютерных вирусов и вредоносных программ преследуется законом. Злостные взломщики согласно международным законам по борьбе с киберпреступностью подлежат экстрадиции подобно военным преступникам.

 

Тем не менее, США в 2013 году первыми в мире учредили боевую награду за особые заслуги солдат, действующих в кибер-пространстве: медаль «Distinguished Warfare Medal».

«Новые возможности, которыми располагают американские военнослужащие, позволяют им сражаться с врагом и менять ход битвы, находясь в удаленной точке. К сожалению, не существовало наград, которые такие люди могли бы получить за свои заслуги»

 — министр обороны  США Леон Панетта (Leon Panetta)

 

Одной из важнейших задач компьютерной безопасности является борьба с вредоносным программным обеспечением (ВПО) и в частности подзадача его обнаружения. Все методики обнаружения можно разделить на 2 типа: методики обнаружения известного ВПО и методики обнаружения неизвестного ВПО []. В свете текущих тенденций развития вредоносных программ, все более актуальными становится задача создания эффективного средства обнаружения неизвестного ВПО. Автором ведется работа по созданию подобного средства. Целью разработки является повышение эффективности обнаружения за счет совершенствования существующих методик. Был проведен анализ имеющихся методик c целью выявления их характеристик. В результате этого исследования была сформирована классификация методик, которая будет представлена в данной работе (см. рис. 1). Рис 1. Классификация методик обнаружения неизвестного ВПО Методику обнаружения неизвестного ВПО можно описать с помощью следующих параметров: данные, получаемые об исследуемом ПО, способы получения этих данных, математические методы, применяемые для анализа данных, и выявляемые признаки вредоносности []. Комбинация этих параметров определяет основные характеристики методики: уровень ошибок первого и второго рода, ресурсоемкость, вычислительную сложность, алгоритмическую сложность (трудоемкость реализации) и др. Поэтому построенная классификация рассматривает методики в контексте каждого из этих параметров. Классификация по характеру получаемых данных. По характеру получаемых данных методики принято разделять на структурный анализ и поведенческий анализ []. Структурный анализ [] учитывает тот факт, что некоторые виды ВПО (например, вирусы) имеют отличительные особенности в структуре: расположение точки входа, специфичные последовательности команд, а также многие признаки, обнаруживаемые при так называемом эвристическом анализе. Данный вид анализа выявляет в основном косвенные признаки вредоносности, которые напрямую не указывают на вредоносность ПО, но крайне редко наблюдаются в полезном ПО. Структурный анализ в большинстве случаев имеет высокую скорость работы (по причине небольшой вычислительной сложности). Главным минусом данного подхода является то, что не все типы ВПО имеют структурные отличия от полезного ПО. Таким образом, не все виды ВПО можно обнаруживать данным методом. Также к этой категории можно отнести методики, которые анализируют бинарное подобие исследуемого ПО и известных вредоносных программ []. Но на практике данные методики не дают приемлемых результатов. Поведенческий анализ [] исследует действия, выполняемые ПО, и их последствия. Такие методики определяют вредоносность программ по тем же признакам, что и человек – по их поведению. В идеальном исполнении система, реализующая данный подход, способна защитить от любого ВПО, но на практике создать такую систему невозможно. С одной стороны слежение за всеми действиями ПО – алгоритмически сложная, ресурсоемкая и в некоторых случаях невыполнимая задача. С другой стороны, невозможно полностью формализовать понятие «вредоносное поведение». На практике такие методики следят за ограниченным набором действий, выполняемых ПО, и пытаются выявить в них ограниченный набор признаков вредоносности. Таким образом, к плюсам поведенческого анализа можно отнести теоретическую возможность обнаружения любого типа ВПО, а также и возможность обнаружения ВПО в момент совершения вредоносного действия, а к минусам – практическую невозможность полного контроля системы, ресурсоемкость (чем больше контроль, тем сильнее замедляется работа всей системы). Среди часто обсуждаемых проблематик поведенческого анализа можно указать вопрос полноты информации получаемой о ПО, а так же задачу анализа потока информации с различными требованиями. Вопрос полноты полученной информации в основном возникает при попытке выяснения всех возможных действий, которые может выполнять программа. Данный вопрос особо остро проявляется при обнаружении так называемых «временных бомб». Этот вид ВПО выполняет вредоносные действия только при определенных условиях, например в конкретную дату. Таким образом, при невыполнении данного условия поведенческий анализатор не сможет обнаружить такое ВПО, и оно будет беспрепятственно себя распространять. Некоторые виды поведенческого анализа накладывают свои требования к методам анализа. Так для исследования потока исполнения (например, анализ системных вызовов на компьютере конечного пользователя) необходимы методы, которые будут его анализировать по мере поступления данных за гарантированный промежуток времени. В противном случае антивирус будет замедлять работу системы тем самым мешать пользователю. Классификация по способу получения данных. Существующие методики обнаружения неизвестного ВПО по способу получения данных об исследуемом ПО можно разделить на две категории: методики исполняющие и не исполняющие код программы. Методики, не исполняющие программный код, в основном применяются в структурном анализе, поэтому их основные достоинства и недостатки совпадают. Главный недостаток состоит в невозможности обнаружения ВПО, особенности которого проявляются только при исполнении кода. Главными преимуществами данного подхода являются высокая скорость, низкая ресурсоемкость и безопасность использования. Помимо того, что данные способы позволяют относительно быстро обнаруживать некоторые виды ВПО, они позволяют ускорить работу других способов. Так методика определения измененных файлов по контрольным суммам, также относящаяся к данному виду, позволяет ускорить анализ ПО с помощью других методов, например, не анализировать файл повторно, если он не был изменен. Методики, исполняющие программный код, применяются в основном в поведенческом анализе. К таким методикам относятся сбор данных при исполнении ПО на реальной системе (например, компьютер пользователя или «honeypot»), сбор данных при исполнении ПО на эмуляторах, а также смешанные способы. Каждый из указанных подвидов имеет свои достоинства, недостатки и области применения. При исследовании работы ПО в реальной системе обычно контролируют ряд действий во время выполнения ПО (системные вызовы, обращение к файлам) и изменения в системе после выполнения ПО (изменения в файловой системе). Реализация данного подхода на компьютерах конечных пользователей следит за действиями программ и с одной стороны позволяет обнаружить ВПО в момент исполнения вредоносного действия, а с другой стороны замедляет работу системы. Достоинствами данного подхода по сравнению с созданием полноценных эмуляторов являются возможность исследования ПО в «естественных условиях», высокая скорость сбора данных и относительная простота реализации. Недостатки обусловлены следующими обстоятельствами. Существует поведение, данные о котором невозможно собирать напрямую – возможно только косвенное их получение. В первую очередь, это относится к работе на уровне ядра системы. Некоторые виды ВПО используют stealth-технологии, препятствующие контролю за действиями программы, или не выполняют вредоносных действий при обнаружении контроля за собой. Для данного подхода к исследованию ПО не найдено приемлемое решение задачи исследования всего функционала ПО. Если ПО исполняется на компьютере пользователя, существует вероятность, что к моменту обнаружения оно уже нанесет ущерб пользователю. Исследование работы ПО с помощью эмуляторов основано на эмуляции поведения системы: центрального процессора, операционной системы и пр. Фактически исследуемая программа выполняется не на реальной системе, а на специальном интерпретаторе. К достоинствам такого подхода относятся безопасность его использования, теоретическая возможность полного контроля над действиями программы, а также возможность исследования всего функционала ПО. Недостатками являются крайне высокая алгоритмическая сложность данного подхода и низкая скорость работы. Смешанные способы в основном предполагают выполнение программы на реальном процессоре, но в изолированной среде. Таким образом, они сочетают достоинства и недостатки обоих рассмотренных выше подходов. К смешанным способам относят. Использование виртуальных машин. Этот довольно ресурсоемкий подход, который полностью изолирует исследуемую программу от реальной системы, но в ряде задач он оказывается быстрее эмулятора. Использование «песочниц» («sandbox»). Данный подход является менее ресурсоемким и более прост в реализации, чем предыдущий, но он не гарантирует полную изоляцию ПО от реальной системы. Классификация методов анализа. Данная классификация основана на способах накопления знаний, которые используют методы анализа, и выделяет две группы методов: методы, основанные на экспертных знаниях, и различные методы машинного обучения; Методы, основанные на экспертных знаниях, используются для формализации понятия «вредоносности» и знаний экспертов в области исследования вредоносных программ. Знания могут быть связаны, например, с тем, какие действия являются вредоносными (поведенческий анализ), или какие особенности структуры могут говорить о вредоносности (структурный анализ). В дальнейшем эти формализованные знания применяются для обнаружения вредоносности в анализируемых данных. Представителями данной группы методом являются. Метод продукционных правил []. Это один из самых простых в реализации, но довольно эффективный метод. В его основу положена модель представления знаний в виде конструкций «ЕСЛИ-ТО». С помощью таких правил можно указать одиночные признаки вредоносности. Поиск поведенческих сигнатур []. Данный метод разработан для поведенческого анализа. За основу взят метод продукционных правил, который был адаптирован для обнаружения вредоносных последовательностей действий (т.е. определения перехода системы в «зараженное» состояние). Метод, основанный на нейро-нечетких сетях []. В основе данного метода также лежат правила, задаваемые экспертом. Используемый в нем нечеткий логический вывод позволяет определять комплексные признаки, а элементы искусственных нейронных сетей позволяют подстраивать правила на основе известных ВПО. Все методы данной группы довольно качественно определяют признаки, заданные экспертами, и для них характерен высокий процент обнаружения вредоносных программ, обладающих данными признаками. Тем не менее, более сложные признаки и новые техники, используемые ВПО, эти методы не определяют. Методы машинного обучения используются для «извлечения» знаний (признаков вредоносности) на основе анализа известных ВПО. Развитию данных методов способствует наличие большого количества известных ВПО и тот факт, что основная масса нового ВПО использует сходные технологии, а иногда являются модификацией известного ВПО. Основная задача методов машинного обучения состоит в определении зависимости между исследуемыми данными и выявляемыми признаками вредоносности. Исследования показали, что эффективность этих методов зависит от характера обнаруживаемых признаков, подбора входных данных и качества обучения, следовательно, в общем случае точность этих методов сравнить затруднительно. Однако можно выбрать наиболее подходящий метод для обнаружения конкретного признака при наличии конкретного набора данных и обучающей выборки. К методам машинного обучения относятся: методы, основанные на теореме Байеса[, ]; метод опорных векторов[]; деревья решений[, ]; искусственные нейронные сети[]; генетические алгоритмы[] и др. Классификация по выявляемым признакам вредоносности. В соответствии с данной классификацией выделяют два типа методик: обнаружение аномалий и обнаружение злоупотреблений. Методы обнаружения злоупотреблений основаны на описании вредоносных действий и попытке обнаружения этих действий в исследуемом ВПО. Данный подход подобен сигнатурному поиску, используемому для обнаружения известного ВПО. Сигнатурный поиск используется для нахождения совпадений по коду программы, а методы обнаружения злоупотреблений – для поиска совпадений, например, в поведении. Многие методики данной группы относительно легко реализуются и дают приемлемые уровни ошибок первого рода. Вместе с тем, данные методы неспособны различать новые техники работы ВПО, т.е. новые признаки вредоносности. В настоящее время обнаружение злоупотреблений является наиболее распространенным подходом к обнаружению неизвестного ВПО. Методы обнаружения аномалий основаны на описании нормальных (эталонных) особенностей программы (например, поведения) и попытке обнаружения отклонений от этого эталона. Описание эталона затрудняется наличием очень сложных программ, а также описанной выше проблемой полноты исследования программы. Данный подход алгоритмически более сложный и зачастую более ресурсоемкий, чем обнаружение злоупотреблений, однако он позволяет обнаруживать не только известные, но также и неизвестные новые признаки и техники. Для пояснения данной классификации рассмотрим также классификацию неизвестного ВПО относительно конкретной методики, в соответствии с которой можно выделить ВПО подобное тому, на котором обучалась методика и не являющееся таковым. Иными словами, такая классификация представляет собой деление по степени подобия набора признаков вредоносности, которыми обладает ВПО, и набора признаков, обнаруживаемых методикой. Существующие методики балансируют между: эффективным обнаружением подобного ВПО (эффективность определяется вероятностью ошибки 1-го рода) и низким обнаружением остальных его видов (методы обнаружения злоупотреблений); менее эффективным обнаружением подобного ВПО, но более эффективным обнаружением остальных его видов (методы обнаружения аномалий). Выводы. Таким образом, существует множество методик обнаружения неизвестного ВПО. Каждая из них имеет свои преимущества, недостатки и особенности использования. Но на данный момент не существует методики, которая бы полностью решали задачу обнаружения неизвестного ВПО с приемлемой эффективностью для любых видов ВПО и при любых требованиях к системе обнаружения ВПО. Теоретически объединение нескольких методик может решить эту проблему. В качестве направления для дальнейших исследований была выбрана задача эффективного синтеза методик.

 

Методы защиты от вредоносных программ

 

Все знают, что для защиты от вредоносных программ нужно использовать антивирусы. Причиной проникновения вирусов на защищенные антивирусом компьютеры, могут быть разные, например:

 

антивирус был отключен пользователем;

антивирусные базы были слишком старые;

были установлены слабые настройки защиты;

вирус использовал технологию заражения, против которой у антивируса не было средств защиты;

вирус попал на компьютер раньше, чем был установлен антивирус, и смог обезвредить антивирусное средство;

это был новый вирус, для которого еще не были выпущены антивирусные базы

 

Однако, в большинстве случаев, наличие установленного антивируса, может оказаться недостаточно для полноценной защиты, и что нужно использовать дополнительные методы.

Из-за неправильного использования антивируса, недостатка самого антивируса и работой производителя антивируса, методы защиты можно разделить на два типа – организационные и технические.

 

 

Организационные методы направлены на пользователя компьютера, и направлены на то, чтобы изменить поведение пользователя, ведь не секрет, что часто вредоносные программы попадают на компьютер из-за необдуманных действий пользователя. Например: разработка правил работы за компьютером, которые должны соблюдать все пользователи.

 

Технические методынаправлены на изменения в компьютерной системе, и заключаются в использовании дополнительных средств защиты, которые расширяют и дополняют возможности антивирусных программ. Такими средствами защиты могут быть:

 

брандмауэры – программы, защищающие от атак по сети;

средства борьбы со спамом;

исправления, устраняющие «дыры» в операционной системе, через которые могут проникать вирусы.

 

Организационные методы

 

Правила работы за компьютером

Условно, правила можно разделить на две категории:

 

Правила обработки информации.

Правила использования программ.

 

К правилам обработки информации относятся:

 

не открывать почтовые сообщения от незнакомых отправителей;

проверять сменные накопители (дискеты, компакт-диски, flash-накопители) на наличие вирусов перед использованием;

проверять на наличие вирусов файлы, загружаемые из Интернета;

работая в Интернет, не соглашаться на не прошеные предложения загрузить файл или установить программу.

 

Общим местом всех таких правил являются два принципа:

 

использовать только те программы и файлы, которым доверяешь, происхождение которых известно;

все данные, поступающие из внешних источников – с внешних носителей или по сети – тщательно проверять.

 

Правила использования программ включает такие пункты:

 

следить за тем, чтобы программы, обеспечивающие защиту, были постоянно запущены, и чтобы функции защиты были активированы;

регулярно обновлять антивирусные базы;

регулярно устанавливать исправления операционной системы и часто используемых программ. Не менять настройки по умолчанию программ, обеспечивающих защиту, без необходимости и полного понимания сути изменений.

 

Здесь также можно проследить два общих принципа:

 

использовать наиболее актуальные версии защитных программ – поскольку способы проникновения и активации вредоносных программ постоянно совершенствуются, разработчики защитных программ постоянно добавляют новые технологии защиты и пополняют базы известных вредоносных программ и атак;

не мешать антивирусным и другим защитным программам выполнять свои функции – очень часто пользователи считают, что защитные программы неоправданно замедляют работу компьютера, и стремятся за счет безопасности повысить производительность. В результате значительно увеличиваются шансы на заражение компьютера вирусом.

 

Политика безопасности

На домашнем компьютере пользователь сам устанавливает себе правила, которым он считает нужным следовать. По мере накопления знаний о работе компьютера и о вредоносных программах, он может сознательно менять настройки защиты или принимать решение об опасности тех или иных файлов и программ.

 

В организациях правила работы с компьютером должны быть общими для всех сотрудников и утверждены официально.

 

За настройку средств защиты и за управление ими, обычно отвечает специально назначенный сотрудник или группа сотрудников, которые сосредоточены на выполнении одной задачи – обеспечении безопасной работы сети (системный администратор). Выбор параметров защиты осуществляется не на усмотрение данных сотрудников, а в соответствии со специальным документом – политикой безопасности. В этом документе написано, какую опасность несут вредоносные программы, и как от них нужно защищаться.

 

В частности, политика безопасности должна давать ответы на такие вопросы:

 

какие компьютеры должны быть защищены антивирусами и другими программами;

какие объекты должны проверяться антивирусом – нужно ли проверять заархивированные файлы, сетевые диски, входящие и исходящие почтовые сообщения и т. д.;

какие действия должен выполнять антивирус при обнаружении зараженного объекта – поскольку обычные пользователи не всегда могут правильно решить, что делать с инфицированным файлом, антивирус должен выполнять действия автоматически, не спрашивая пользователя.

 

Технические методы

 

Исправления

Как уже известно, вирусы нередко проникают на компьютеры через уязвимости («дыры») в операционной системе или установленных программах. Причем чаще всего вредоносными программами используются уязвимости операционной системы Microsoft Windows, пакета приложений Microsoft Office, браузера Internet Explorer и почтовой программы Outlook Express.

Для того, чтобы не дать вирусам возможности использовать уязвимость, операционную систему и программное обеспечение нужно обновлять. Для загрузки и установки обновлений в большинстве программ и систем есть встроенные средства. В Windows XP существует специальный компонент Автоматическое обновление, параметры работы которого настраиваются в окне «Свойства системы», доступном через панель управления. C помощью этого компонента можно автоматически загружать исправления для операционной системы Windows XP (Лично я, не рекомендую использовать данный вид обновления. Небезопасен).

 

Nastroiki avtomaticheskogo obnovleniya Windows XP

Рис. 1. Настройки автоматического обновления Windows XP

 

Можно также использовать специальную программу для загрузки обновлений – Microsoft Baseline Security Analyzer, доступную для бесплатной загрузки на сайте Microsoft.

Программа также обнаруживает слабые места в настройках операционной системы, такие как пустые или слабые пароли, открытые на запись папки общего доступа, которые использоваться вирусами для распространения, в частности через папки общего доступа по локальной сети.

Однако, для подстраховки нелишним будет следить за новостями на веб-сайтах, посвященных вопросам безопасности.

 

 

Брандмауэры

Для того чтобы удаленно воспользоваться уязвимостью в программном обеспечении или операционной системе, нужно установить соединение и передать специально сформированный пакет данных. От попыток проникновения и заражения можно защититься путем запрета определенных соединений. Данную проблему решают программы-брандмауэры.

 

Брандмауэр – это программа, которая следит за сетевыми соединениями и принимает решение о разрешении или запрещении новых соединений на основании заданного набора правил.

 

Правило брандмауэра задается несколькими атрибутами:

 

приложение – определяет программу, к которой относится правило, так что одни и те же действия могут быть разрешены одним программам и запрещены другим. Например, получать и отправлять почту разумно разрешить только программе – почтовому клиенту;

протокол – определяет протокол, используемый для передачи данных. Обычно можно выбрать между двумя протоколами TCP и UDP (User Datagram Protocol – протокол, используемый для передачи данных без подтверждения доставки, используется, например, в таких службах как DNS – службе разрешения имен в Интернет, которая сопоставляет символьные адреса и IP-адреса. Поскольку UDP не гарантирует доставку данных, он является более быстрым, но менее надежным протоколом, чем TCP, и как следствие, реже используется);