"Шпионские штучки" и устройства для защиты объектов и информации

Особенности защиты персональных компьютеров (ПК) обусловлены спецификой их использования. Как правило, ПК пользуется ограниченное число пользователей ПК могут работать как в автономном режиме, так и в составе локальных сетей (сопряженными с другими ПК) и могут быть подключены к удаленному ПК или локальной сети с помощью модема по телефонной линии.

Стандартность архитектурных принципов построения, оборудования и программного обеспечения персональных компьютеров, высокая мобильность программного обеспечения и ряд других признаков определяют сравнительно легкий доступ профессионала к информации, находящейся в ПК. Если персональным компьютером пользуется группа пользователей, то может возникнуть необходимость в ограничении доступа к информации различных потребителей

Несанкционированным доступом (НСД) к информации ПК будем называть незапланированное ознакомление, обработку, копирование, применение различных вирусов, в том числе разрушающих программные продукты, а также модификацию или уничтожение информации в нарушение установленных правил разграничения доступа. В защите информации ПК от НСД можно выделить три основных направления:

— первое ориентируется на недопущение нарушителя к вычислительной среде и основывается на специальных технических средствах опознавания пользователя;

— второе связано с защитой вычислительной среды и основывается на создании специального программного обеспечения по защите информации;

— третье направление связано с использованием специальных средств защиты информации ПК от несанкционированного доступа.

4.1. Специальные технические средства опознавания пользователя ПК

Одним из способов опознавания пользователя ПК является применение специальных электронных карточек, разрабатываемых некоторыми фирмами (например, "Micro Card Technologies"). В электронные карточки записывается специальная информация о владельцах, их пароли и ведется учет всех операций, выполняемых пользователем. В настоящее время нашли широкое применение электронные карточки Touch Memory: DS1990 (48-битный номер), DS1991 (номер+защищаемая память), DS1992 (номер+1Кбит), DS1993 (номер+4Кбит), DS1994 (номер+4Кбит+-таймер). Считывание информации производится с помощью специальных устройств-сканеров: DS9092GT (ручной), DS9092T (тактильный), "Элиас" (клеящийся).

Американская фирма "Software Security Inc." разработала оригинальный электронный ключ доступа к ПК ("Активатор"). В ключе находится микропроцессор, в запоминающее устройство которого заносится уникальная для каждого пользователя информация. При запросе доступа к ПК пользователь должен поднести электронный ключ к дисплею; доступ открывается при совпадении паролей ключа и ПК. Процедуру доступа можно модифицировать так, чтобы пароль зависел от дня недели и времени суток.

Широкое распространение получили устройства фирмы "Calspan", которые проводят идентификацию пользователей по отпечаткам пальцев.

Когда палец приближается к пластине, покрытой термохромным материалом, выпуклые рубчики кожи пальца в местах соприкосновения с пластиной уменьшают температуру поверхности, изменяя в этих местах отражающую способность пластины. Рельеф разветвлений преобразуется в цифровую форму и вводится в ПК, где сравнивается с эталонным отпечатком данного пользователя.

Разработаны и применяются устройства опознавания пользователя по геометрическим признакам руки. В такой системе пользователь помещает руку на массив фотоячеек, который определяет информацию о длине пальцев и их светопроводности. Затем производится сравнение полученных сигналов с эталонным, хранящимся в ПК. Разработанные устройства не реагируют на изменение длины ногтей, но легко обнаруживают искусственные муляжи.

Достаточно надежным является способ опознавания пользователей по почерку. Для этого используются динамические характеристики процесса подписи: скорость, давление на бумагу, и статические — форма и размер подписи. Для этого используется специальная ручка, содержащая преобразователь ускорения по осям X и Y. Эти параметры определяются в процессе контрольного написания но 5-10 образцам.

Достаючно полно разработаны теоретические вопросы опознавания пользователя по голосу. На индивидуальность голоса влияют анатомические особенности и привычки человека-диапазон частот вибрации голосовых связок, высота гона; частотные характеристики голосового тракта.

С точки зрения технической реализации наиболее приемлемым является исследование частотных характеристик голоса. Для этого специалисты фирмы "Philips" предлагают применять специальные многоканальные фильтры с полосой пропускания от 100 Гц до 6,2 кГц. Опознавание пользователя производится сравнением текущих данных с эталонным сигналом по каждому частотному каналу, хранящемуся в памяти ПК.

4.2. Специальное программное обеспечение по защите информации ПК

Для защиты персональных компьютеров используются различные программные методы, которые значительно расширяют возможности по обеспечению безопасности хранящейся информации. Среди стандартных защитных средств персонального компьютера наибольшее распространение получили:

— средства защиты вычислительных ресурсов, использующие парольную идентификацию и ограничивающие доступ несанкционированного пользователя;

— применение различных методов шифрования, не зависящих от контекста информации;

— средства защиты от копирования коммерческих программных продуктов;

— защита от компьютерных вирусов и создание архивов.

В простейшем случае вы можете воспользоваться аппаратными средствами установления пароля на запуск операционной системы ПК с помощью установок в CMOS Setup. При запуске ПК на экране монитора появляется сообщение (в зависимости от типа установленного у вас BIOS) вида:

Press <DEL> if you want to run Setup или

Press <CtrI><Alt><Esc> if you want to run Setup

(для некоторых видов BIOS)

Нажмите клавишу <DEL> или (<Ctrl>+<AIt>+<Esc>) и на экране появится меню CMOS Setup. Выберите опцию Password Checking Option (рис. 4.1), введите пароль, сохраните новые установки Setup (<F10>,<Y>) и перезапустите ПК. Теперь перед каждым запуском компьютера на экране монитора будет появляться сообщение с требованием ввести пароль.

Рис 4.1. Панель ADVANCED CMOS SETUP

К сожалению, использование подобной парольной идентификации не является надежным. Достаточно отключить аккумуляторную батарею, расположенную на материнской плате, и компьютер "забудет" все установки CMOS Setup.

Защита встроенного накопителя на жестком магнитном диске составляет одну из главных задач защиты ПК от постороннего вторжения. Существует несколько типов программных средств, способных решить задачи защиты: защита от любого доступа к жесткому диску; защита диска от записи/чтения; контроль за обращением к диску; средства удаления остатков секретной информации.

Защита встроенного жесткого диска обычно осуществляется путем применения специальных паролей для идентификации пользователя (так называемая парольная идентификация). В данном случае доступ к жесткому диску можно получить при правильном введении пароля при загрузке операционной системы. В противном случае загрузка системы не произойдет, а при попытке загрузки с гибкого диска, жесткий диск становится "невидимым" для пользователя. Эффект защиты жесткого диска в системе достигается видоизменением загрузочного сектора диска, из которого удаляется информация о структуре диска. Такая защита весьма эффективна, и она надежно защищает жесткий диск от рядового пользователя. Примерами программ, реализующих парольную, идентификацию являются следующие.

Программный продукт MAWR, ver. 5.01

Система парольной защиты, состоит из программ: Aspyrln.exe, Mawr.exe, Pers.com и предназначена защищать разделы файловой системы MS DOS (каталоги и подкаталоги) от несанкционированного доступа. Для защиты жесткого диска устанавливается так называемый дисковый пароль. Защита жесткого диска осуществляется путем создания нестандартной структуры FAT, поэтому при загрузке с флоппи-диска нельзя получить доступ к жесткому диску.

Программный модуль PR0TEST.COM, ver. 3,0

Позволяет ставить защиту от записи или от чтения на разделы жесткого диска (логические диски). Доступ к разделу возможен только при введении соответствующего пароля. Разбивка диска производится программой Disk Manager или Fdisk. Возможна защита жесткого диска от загрузки с гибкой дискеты (винчестер не виден для команд DOS). Существующие вирусы не в состоянии разрушить систему, находящуюся на винчестере.

Программный продукт NULOCK, ver. 2.0

Предназначен для защиты жесткого диска от несанкционированного доступа. Доступ к жесткому диску осуществляется по паролю при запуске операционной системы. При попытке загрузки с дискеты винчестер для команд DOS не виден.

Программный продукт PASSW, ver. 1.0

Предназначен для защиты жесткого диска. Организует доступ к жесткому диску посредством пароля. Позволяет устанавливать, удалять, изменять и читать пароль жесткого диска. Запрещает доступ к операционной системе винчестера при обращении с дискет.

Программный пакет ADM, ver. 1.03

(The Advanced Disk Management System)

Программный пакет позволяет создавать на одном диске до 16-ти защищаемых разделов. Доступ к разделам возможен на основании таблицы разграничения доступа, учитывающей виды доступа и разрешение разделов для пользователей при помощи различных паролей.

Однако следует отметить, что квалифицированный системный программист может преодолеть указанный выше метод защиты. Даже при помощи широко распространенных программных средств (например, Norton Utilities) возможно чтение информации с жесткого диска. Опытный программист может попытаться восстановить отсутствующую системную информацию или проанализировать программу защиты для обнаружения пароля, так как некоторые программы защиты записывают пароль в открытом виде в загрузочном секторе или сразу после загрузочного сектора. Устойчивая защита информации на жестком диске может быть достигнута посредством шифрования системной информации, пароля и всего содержимого диска.

Возможность использования персональных компьютеров в локальных сетях (при сопряжении их с другими ПК) или применение "модемов" для обмена информацией по телефонным проводам предъявляет более жесткие требования к программному обеспечению по защите информации ПК. Потребители ПК в государственных и коммерческих организациях для обмена информацией все шире используют электронную почту, которая без дополнительных средств защиты может стать достоянием постороннего человека. Самой надежной защитой от несанкционированного доступа к передаваемой информации и программным продуктам ПК является применение различных методов шифрования (криптографических методов защиты информации).

Криптографические методы защиты информации — это специальные методы шифрования, кодирования или иного преобразования информации, в результате которого ее содержание становится недоступным без предъявления ключа криптограммы и обратного преобразования. Криптографический метод защиты, безусловно, самый надежный метод защиты, так как сохраняется непосредственно сама информация, а не доступ к ней (например, зашифрованный файл нельзя прочесть даже в случае кражи носителя). Данный метод защиты реализуется в виде программ или пакетов программ, расширяющих возможности стандартной операционной системы. Защита на уровне операционной системы, чаще всего, должна дополняться средствами защиты на уровне систем управления базами данных, которые позволяют реализовывать сложные процедуры управления доступом.

В настоящее время не существует общепринятой классификации криптографических методов защиты информации. Однако, когда подвергается преобразованию (шифровке) каждый символ передаваемого сообщения ("симметричный" метод закрытия информации), можно условно выделить четыре основные группы:

— подстановка — символы шифруемого текста заменяются символами того же или другого алфавита в соответствии с заранее определенным правилом;

— перестановка — символы шифруемого текста переставляются по некоторому правилу в пределах заданного блока передаваемого текста;

— аналитическое преобразование — шифруемый текст преобразуется по некоторому аналитическому правилу;

— комбинированное преобразование — исходный текст шифруется двумя или большим числом способов шифрования.

Существует большое число программных продуктов шифрования информации, которые продаются вместе с операционной системой. Эти программы трансформируют обычную текстовую информацию в зашифрованные данные (шифротекст) посредством специального алгоритма, доступ к которому осуществляется при помощи ключа. Пока ключ (кодовое число) не потерян пользователем, из шифро-текста может быть восстановлен исходный текст. Примерами таких программ могут служить:

Программные средства DES

Криптографические алгоритмы DES являются, наверное, самым широко используемым механизмом шифрования данных в наше время. Существует большое число его аппаратных и программных реализации, трансформирующих исходную информацию. Физически информация хранится в зашифрованном виде на жестком диске, для обращения к ней в системе создается виртуальный диск, к которому можно обратиться как к обычному диску или дискете, введя правильный ключ.

ГОСТ28147-89

В России для шифрования в государственных организациях используется алгоритм по установленному стандарту ГОСТ28147. По аналогии с DES алгоритм ГОСТ также является симметричным алгоритмом шифрования с секретным ключом. Существует большое число реализаций этого алгоритма, как программных, так и аппаратных.

Программный пакет EXCELLENCE, ver. 3.1

Программное обеспечение системы криптографической защиты данных, хранящихся на жестком диске. Разрешение на доступ к информации дается на основе таблицы разграничения доступа, которая может корректироваться лицом, ответственным за безопасность системы.

Программный пакет RETURN TO LIFE

Пакет представляет собой систему помехоустойчивого кодирования информации. Программный пакет позволяет осуществлять защиту системы или отдельных файлов от несанкционированного использования. В процессе защиты секретная информация (кодовый ключ) может быть записана на дискету или жесткий диск.

Программа DISKREET

Входит в состав пакета Norton Utilities, работает в операционной среде MS DOS и Windows. Она также реализует алгоритм DES при шифровании файлов, а также обладает рядом других возможностей (блокировки клавиатуры и экрана), таких, как создание шифрованных объектов на уровне файлов или виртуальных (логических) дисков.

Таблица 4.1. Сертифицированные операционные системы (состояние на 1994 г.)

Программный пакет PROTEST

Защищает текстовые файлы, базы данных. Принцип основан на кодировании информации с учетом особенностей конфигурации ПК, в частности, жесткого диска, видеоадаптера, портов. Кроме того, для защиты информации используется ключевая дискета, которая форматируется определенным образом в первый сектор записывается номер ключа.

Таблица 4.2. Кандидаты на сертификацию (состояние на 1994 г.)

Программно-аппаратный комплекс DALLAS LOCK, ver. 3.0

Предназначен для защиты компьютера от НСД путем шифрования файлов на дискетах и винчестере. Для шифрования используется программа Lock.exe, а для дешифрования применяется программа Unlock.exe.

Процесс обращения предельно прост в использовании — достаточно указать имя расшифровываемого файла и код ключа.

Программный пакет SECRET DISK, ver. 1.01

Пакет позволяет шифровать и расшифровывать файлы, виртуальные (логические) диски и дискеты. Позволяет изменять атрибуты главного файла, форматировать дискету для SecretDisk, изменять кодовые ключи.

Программный модуль PROGRAM PROTECT, ver. 3.0

Система работает под управлением MS DOS, ver. 3.x и предназначена для шифрования файлов. Ограничивает доступ к файлам путем организации запроса кода. Устанавливает защиту от несанкционированного копирования с невозможностью её снятия. Защита снимается только форматированием, т. е. уничтожением информации.

* * *

В настоящее время существуют более сложные криптографические методы закрытия информации, "асимметричные", связанные с более сложными техническими решениями, которые используются, как правило, в системах закрытия важной государственной информации. Изложение данных методов защиты информации выходит за рамки настоящего издания; упомянем лишь, что реализация простейших видов этого метода вполне доступна даже начинающим программистам (см., например, журнал "PC Magasine" за 1995 год).

К защищенным системам относятся такие аппаратные и программные средства, которые разработаны с учетом требований безопасности обработки информации, содержащихся в соответствующих государственных документах, и обладают проверенными в ходе сертификационных испытаний защитными свойствами. Приведем список операционных систем, сертифицированных Национальным центром компьютерной безопасности (NCSC) США. Он представляет различные компании, продукты которых либо получили сертификат от NCSC (табл. 4.1), либо проходят сертификацию (табл. 4.2). Класс защиты снижается от А к С и от 1 к 2.

Поскольку сертификационные испытания продолжаются около двух лет, то включение новых кандидатов в табл. 4.1 за прошедшее время маловероятно.

В отношении широко используемых в России Операционных Систем типа MS DOS и ей подобных ОС, а также OS/2 можно сказать, что они не относятся к классу защищенных и их использование создает предпосылки к НСД. По заявлению фирмы Microsoft, система MS Windows NT ver. 3.5 создавалась в соответствии с требованиями класса С2 и при использовании дополнительных программных продуктов может соответствовать классу В2.

Описанные выше методы защиты информации от несанкционированного доступа являются достаточно эффективными. Однако в некоторых случаях они позволяют производить перенос (копирование) программ с одного ПК на другой, что дает возможность специалисту по криптографии путем применения специальных средств расшифровать полученную информацию. Для исключения такой возможности применяют специальные программы, защищающие от несанкционированного копирования информации.

Программы защиты от копирования отличаются определенной спецификой, так как, с одной стороны, должны разрешать чтение программы для её выполнения, а с другой запрещать операцию чтения для предотвращения несанкционированного копирования. Данная задача может быть выполнена двумя способами:

— можно разрешить операцию чтения (копирования), но делать скопированные программы неработоспособными (неузнаваемыми);

— сделать информацию "трудночитаемой" стандартными средствами, но доступной для специальных программных средств.

Для этих целей может быть создана "ключевая" дискета, на которой хранятся специальные программные средства, необходимые для успешного чтения (копирования) файлом, находящихся на жестком диске. На ключевой дискете для принятия индивидуальности помечают некоторые сектора "плохими" (bad) и изменяют структуру записи системной информации. Одновременно в специальные программы управления чтением (копированием) должны быть заложены функции проверки этих "уникальных" особенностей. Примерами таких специальных программ могут служить следующие:

Программный пакет PROKOP

Состоит из программ Codprtet.com, Floprtet.com, Hardinsl.com, которые инсталлируются на винчестер. В процессе защиты программ пользователя от копировании происходит привязка загружаемых программ к ключевой дискете. Ключевая дискета не может быть скопирована средствами DOS и такими утилитами, как Copy write или Соруii рс.

Программный комплекс РР ver. 2 2, БФ ИЛИ АН РФ

Система защиты программ от несанкционированного копирования состоит из модулей: I_and_r.exe, Ptoolf.exe, Ptooli.exe. Защита состоит в изменении ЕХЕ-файлов путем перемещения из них блока размером 512 байт и внедрения на это место специальной программы, распознающей условия, заданные в момент инсталляции.

Программный комплекс TEXT PROTECTION

Состоит из модулей Decod.exe, Deshifr.exe, Pold.exe, которые предназначены для защиты текстовых данных от несанкционированного копирования. Создание ключевой дискеты происходит путем физической порчи части секторов — царапанья ее иголкой.

Программа COPYLOCK.COM, Link Computer

Для защиты используется форматирование ключевой дискеты специальным образом. Программа, делая дискету ключевой, форматирует О дорожку, изменив такой параметр, как размер сектора, на 128 (вместо 512), а номер последнего сектора дорожки — на 30 (вместо 9). Затем форматируется 12 дорожка, но уже со стандартными параметрами.

Программный пакет ANTYCOP

Имеет в своем составе файлы: Antycop.com, Antycop.ust, Antycop.zag.

Это система защиты файлов, размещаемых на жестких и гибких дисках, от несанкционированного копирования. Защищенные файлы привязываются к носителю и при копировании становится неработоспособны. При установке защиты учитываются следующие параметры, вводимые пользователем: ключ защиты, число инсталляций (все копии, сделанные сверх установленного лимита, будут неработоспособны).

Программный продукт SECRET TEXT, ver. 2.5

Состав: Stext.exe, Svicwer.exe. Предназначен для защиты текстовых файлов от несанкционированного копирования с жесткого диска. Система работает под управлением MS DOS ver. 3.x. Она позволяет устанавливать и снимать защиту с текста.

Программный пакет ППП ЗАЩИТА-МИКРО

Функционирует на ПК типа IBM PC/XT или совместимых с ним под управлением операционной системы MS DOS ver. 3.1 и выше. Предназначен для защиты файлов от неправомочного копирования и распространения программных продуктов, записанных на гибких магнитных носителях, используя специальное изготовление дискет.

Программный пакет LIST, ver. 1.0

Система ограничения доступа и защиты от копирования файлов на диске. Файлы заносятся в "черный" список, что не позволяет их копировать, удалять и изменять. Файл List.exe управляет списком и возвращает файлы из "черного" списка.

* * *

Программы, защищенные описанным выше методом, гарантированы от копирования при помощи стандартных средств (Copy, Хсору, Disk-copy, Norton Utilities и т. д.), однако программы защиты, а, следовательно, и их "уникальные" характеристики подвержены тиражированию.

Вследствие этого ряд производителей программного обеспечения отказываются от продажи программ на дискетах, а размещают свои изделия непосредственно в операционной системе при покупке ПК, обеспечивая тем самым соответствующую защиту для них.

Описанные выше методы защиты достаточно эффективны, но не гарантируют от разрушения и потерь информации в результате ошибок пользователя, сбоев программ или действий злоумышленника в обход защиты. В подобных случаях в ПК должны быть предусмотрены восстановительные мероприятия: страхование, резервирование, создание архивных копий. Использование архивов оценивается специалистами как весьма полезная мера сохранения информации от потерь.

Удаление файлов средствами DOS (например, нажатием на клавишу <F8> в Norton Comander) не приводит к стиранию (уничтожению файлов с жесткого диска). Файл может быть восстановлен специальными программными средствами, например, утилитами UnErase и DiskEdit (входящими в состав Norton Utilities) или UnDelet, входящей в состав дистрибутива DOS.

Кроме того, неиспользуемая часть последнего кластера, занимаемого файлом, может содержать информацию, доступную утилите Diskedit.

Даже форматирование (высокоуровневое) жесткого диска не разрушает область данных, и информация может быть восстановлена с помощью специальных программных средств (в простейшем случае с помощью утилиты Unformat).

При работе со многими современными программными продуктами (например, с широко распространенным текстовым редактором Word for Windows) ваши данные размещаются во временном файле, который впоследствии автоматически удаляется. Вы можете и не знать о его существовании, однако файл остается на диске и может быть извлечен посторонним лицом.

Таким образом, возникает необходимость предотвращения всякий возможности доступа к незашифрованной информации.

"Необратимое" стирание данных с жесткого диска осуществляется, как правило, путем записи на занимаемое ими место заданного двоичного числа (обычно 0).

В соответствии со стандартом Министерства Обороны США, данные стираются путем выполнения как минимум трех циклов, каждый из которых включает запись в каждый бит единиц, а затем — нулей.

Подобный алгоритм осуществляет утилита Wipeinfo,входящая в состав Norton Utilities.

При эксплуатации персональных компьютеров по самым различным причинам возможны порча или потеря информации на магнитных дисках. Это может произойти из-за физической порчи магнитного диска, неправильной корректировки или случайного уничтожения файлов, разрушения информации компьютерным вирусом и т. д. Для того чтобы уменьшить потери в таких ситуациях, следует иметь архивные копни используемых файлов и систематически обновлять копии изменяемых файлов. Для хранения архивов данных можно использовать внешние запоминающие устройства большой емкости, которые дают возможность легко скопировать жесткий диск (например, стримеры. "Арвид" и др.)

Для копирования файлов можно, разумеется, использовать следующие средства:

— стандартные команды Copy, Хсору, Diskcopy;

— программные средства PCtools, Norton Commander, Windows;

— программы непрерывного копирования Backup и Restore.

Однако при этом архивные копии занимают столько же места, сколько занимают исходные файлы, и для копирования нужных файлов может потребоваться много дискет.

Более удобно для создания архивных копий использовать специально разработанные программы архивации файлов, которые сжимают информацию. При архивировании степень сжатия файлов сильно зависит от их формата. Некоторые форматы данных (графические, Page Maker и др.) имеют упакованные разновидности, при этом сжатие производится создающей исходный файл программой, однако лучшие архиваторы способны поджать и их. Совсем другая картина наблюдается при архивации текстовых файлов, файлов PostScript и им подобных (текстовые файлы обычно сжимаются на 50–70 %, а программы на 20–30 %).

Наиболее популярны архиваторы ARJ, LHA, КАК и PKZIP (имеет отдельный распаковщик PKUNZIP).

Большинство из этих программ не надо специально покупать, они предлагаются как программы условно-бесплатные (Shareware) или свободного распространения (Freeware). Хорошую помощь при архивации программ (поскольку каждый пользователь имеет любимый архиватор) могут оказать вам специальные "оболочки" (так называемые Packer-Shells), такие как SHEZ или GUS, которые самостоятельно определяют компрессированный файл и помогают его распаковать (так называемый процесс разархивации); аналогичные средства имеются в современных оболочках общего назначения (Norton Commander, Dos Navigator и др.).

Подобные оболочки обычно лишь управляют имеющимися программами-архиваторами общего пользования. Архиватор RAR имеет собственную встроенную оболочку.

Рис. 4.2. Оболочка архиватора RAR

Принцип работы архиваторов основан на поиске в файле "избыточной" информации и последующем ее кодировании с целью получения минимального объема. Самым известным методом архивации файлов является сжатие последовательностей одинаковых символов. Например, внутри вашего файла находятся последовательности байтов, которые часто повторяются. Вместо того чтобы хранить каждый байт, фиксируется количество повторяющихся символов и их позиция. Для наглядности приведем следующий пример.

Упаковываемый файл занимает 15 байт и состоит из следующей последовательности символов:

В шестнадцатиричной системе

Архиватор может представить этот файл в виде (шестнадцатиричном):

Эти последовательности можно интерпретировать следующим образом: с первой позиции 5 раз повторяется знак В, с шестой позиции 5 раз повторяется знак L и с позиции 11 повторяется 5 раз знак А.

Согласитесь, очень простая демонстрация алгоритма архивации. Очевидно, что для хранения файла в его последней форме требуется лишь 9 байт — меньше на 6 байт.

Описанный метод является простым и очень эффективным способом сжатия файлов. Однако он не обеспечивает большой экономии объема, если обрабатываемый текст содержит небольшое количество последовательностей повторяющихся символов. Более изощренный метод сжатия данных, используемый в том или ином виде практически любым архиватором, — это так называемый оптимальный префиксный код, и в частности, алгоритм Хаффмана, или кодирование символами переменной длины. Код переменной длины позволяет записывать наиболее часто встречающиеся символы и фразы всего лишь несколькими битами, в то время как редкие символы и фразы будут записаны более длинными битовыми строками. Например, анализируя любой английский текст, можно установить, что буква Е встречается гораздо чаще, чем Z, а X и Q относятся к наименее встречающимся. Таким образом, используя специальную таблицу соответствия, можно закодировать каждую букву Е меньшим числом бит, используя более длинный код для более редких букв, тогда как в обычных кодировках любому символу соответствует битовая последовательность фиксированной длины (как правило, кратной байту).

Популярные архиваторы ARJ, РАК, LHARC, PKZIP работают на основе алгоритма Лемпела-Зива. Эти архиваторы классифицируются как адаптивные словарные кодировщики, в которых текстовые строки заменяются указателями на идентичные им строки, встречающиеся ранее в тексте. Например, все слова этой книги могут быть представлены в виде номеров страниц и номеров строк некоторого словаря. Важнейшей отличительной чертой этого алгоритма является использование грамматического разбора предшествующего текста с разложением его на фразы, которые записываются в словарь. Указатели позволяют делать ссылки на любую фразу в окне установленного размера, предшествующем текущей фразе. Этот размер определяет границы поиска соответствия; при его увеличении возрастает плотность упаковки, но снижается скорость работы программы. Если соответствие найдено, текущая фраза заменяется указателем на ее предыдущее вхождение.

Программы-архиваторы позволяют не только сэкономить место на архивных дискетах, но и объединять группы совместно используемых файлов в один архивный файл, что заметно облегчает ведение архивов.

К основным функциям архиваторов относятся:

— архивация указанных файлов пли всего текущего каталога;

— извлечение отдельных или всех файлов на архива в текущий каталог (пли в указанный каталог);

— просмотр содержимого архивного файла (состав, свойства упакованных файлов, их каталожная структура и т. д.);

— проверка целостности архивов;

— восстановление поврежденных архивов;

— ведение многотомных архивов;

— вывод файлов из архива на экран или на печать.

Все программы-архиваторы, как правило, снабжены подробными комментариями, поэтому их применение не вызывает особых затруднений.

Кроме того, в программах-архиваторах могут быть предусмотрены дополнительные функции по защите информации в архивном файле с помощью пароля, которым используется как ключ алгоритма шифрования данных в архиве.

Компьютерный вирус — это специально написанная небольшая по размерам программа, которая может "приписывать" себя к другим программам (т. е. "заражать" их), а также выполнять различные нежелательные действия на компьютере. Программа, внутри которой находится вирус, называется "зараженной". Когда такая программа начинает работу, то сначала, как правило, управление получает вирус. Вирус находит и "заражает" другие программы или выполняет какие-нибудь вредные функции: портит файлы или таблицу размещения файлов на диске, "засоряет" оперативную память, изменяет адресацию обращений к внешним устройствам и т. д. Более того, зараженные программы могут быть перенесены на другой компьютер с помощью дискет или локальной сети.

Рис. 4.3. Классификация компьютерных вирусов

В настоящее время известно более трех тысяч вирусов. Условно они подразделяются на классы по следующим признакам.

По среде обитания:

— сетевые, распространяющиеся по компьютерной сети;

— файловые, внедряющиеся в выполняемый файл;

— загрузочные, внедряющиеся в загрузочный сектор жесткого диска или дискеты.

По способу заражения:

— резидентные, загружаемые в память ПК;

— нерезидентные, не заражающие память ПК и остающиеся активными ограниченное время.

По возможностям:

— безвредные, не влияющие на работу ПК;

— неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими звуковыми и прочими эффектами;

— опасные, которые могут привести к серьезным сбоям в работе ПК;

— очень опасные, которые могут привести к потере программ, уничтожению данных, стереть информацию в системных областях памяти и даже преждевременному выходу из строя периферийных устройств. В последнее время появились вирусы, влияющие на здоровье человека (печально известный вирус "777").

* * *

Данная классификация объединяет, естественно, далеко не все возможные вирусы; в каждой категории встречаются варианты, не названные в силу их экзотичности, например, CMOS-вирусы или вирусоподобные структуры, "обитающие" в среде Microsoft Word. Кроме того, встречается ряд программ, не обладающих всеми свойствами вирусов, но могущих представлять серьезную опасность ("троянские кони" и т. п.).

* * *

Для защиты и борьбы с вирусами применяются специальные антивирусные программы, которые можно разделить на несколько видов:

— программы детекторы позволяют обнаружить файлы, зараженные вирусом. Работа детектора основывается на поиске участка кода, принадлежащего тому или иному известному вирусу. К сожалению, детекторы не гарантируют обнаружения "свежих" вирусов, хотя в некоторых из них для этого предусмотрены особые средства. Наиболее известными детекторами являются ViruScan, KetSсаn. У нас в стране используется детектор Aidstest;

— программы-доктора (или фаги) "лечат" зараженные программы или диски, уничтожая тело вируса. При этом в ряде случаев ваша информация может быть утеряна, так как некоторые вирусы настолько искажают среду обитания, что ее исходное состояние не может быть восстановлено. Широко известными программами-докторами являются Clean-Up, M-Disk и уже упомянутый выше Aidstest;

— программы-ревизоры сначала запоминают сведения о состоянии программ и системных областей дисков, а в дальнейшем сравнивают их состояние с исходным. При выявлении несоответствий выдают сообщение пользователю. Работа этих программ основана на проверке целостности (неизменности) файлов путем подсчета контрольной суммы и ее сравнении с эталонной, вычисленной при первом запуске ревизора, возможно также использование контрольных сумм, включаемых в состав программных файлов изготовителями. Могут быть созданы, и встречаются, вирусы, не изменяющие при заражении контрольную сумму, сосчитанную традиционным образом — суммированием всех байтов файла, однако практически невозможно замаскировать модификацию файла, ее подсчет ведется по произвольной, заранее неизвестной схеме (например, четные байты дополнительно умножаются на 2), и совсем невероятно при использовании двух (или более…) по-разному сосчитанных сумм.

Рис. 4.4. Классификация специализированных программных антивирусных средств

Рис. 4.6. Заставка антивирусной программы DrWeb

Рис. 4.5. Заставка антивирусной программы Aidstest

— доктора-ревизоры — это программы, объединяющие свойства ревизоров и фагов, которые способны обнаружить изменения в файлах и системных областях дисков и при необходимости, в случае патологических изменений, могут автоматически вернуть файл в исходное состояние;

— программы-фильтры располагаются резидентно в оперативной памяти компьютера, перехватывают те обращения к операционной системе, которые могут использоваться вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Программы фильтры контролируют действия, характерные для поведения вируса, такие как:

— обновление программных файлов;

— запись на жесткий диск по физическому адресу (прямая запись);

— форматирование диска;

— резидентное размещение программ в оперативной памяти.

* * *

Выявив попытку совершения одного из этих действий, программа-фильтр выдает описание ситуации и требует от пользователя подтверждение. Пользователь может разрешить операцию, если ее производит "полезная" программа, или отменить, если источник данного действия неясен. К широко распространенным программам фильтрам относятся FluShot Plus, Anti4Us, Floserum, Disk Monitor. Это достаточно надежный метод защиты, но создающий существенные неудобства для пользователя.

Некоторые антивирусные функции встроены в современные версии BIOS.

Выпускаемые антивирусные программные продукты, а их очень много, как правило, объединяют основные функции детектора-доктора-ревизора.

Следует отметить, что антивирусные программы постоянно обновляются, не реже одного раза в месяц, и способны защитить компьютеры от вирусов, известных программе на данный момент.

Прежде всего, необходимо подчеркнуть, что защитить компьютер от вирусов может только сам пользователь. Только правильное и своевременное применение антивирусных средств может гарантировать его от заражения или обеспечить минимальный ущерб, если заражение все-таки произошло.

Необходимо правильно организовывать работу на ПК и избегать бесконтрольной переписи программ с других компьютеров, в первую очередь это касается развлекательных программ и компьютерных игр.

Действия при заражении вирусом

При заражении компьютера вирусом (или подозрении на это заражение) необходимо выполнить следующие операции.

1. Выключить компьютер, чтобы вирус не продолжал выполнение своих разрушительных функции.

2. Произвести загрузку компьютера с "эталонной" (системной) дискеты (на которой записаны исполняемые файлы операционной системы и программы-детекторы) и запустить антивирусные программы для обнаружения и уничтожения вируса. Использование "эталонной" дискеты является необходимым, т. к. при загрузке операционной системы с жесткого диска некоторые вирусы могут переместиться в оперативную память из загрузочного модуля. При этом системная дискета должна быть защищена от записи, с помощью переключателя, расположенного на ее корпусе (для дискет 3,5") или наклейки (для дискет 5,25").

Рис. 4.7. Защита дискеты от записи

3. Далее следует последовательно обезвредить все логические диски винчестера. Если некоторые файлы на логическом диске невозможно восстановить и они не уничтожаются, то необходимо неповрежденные файлы скопировать на другой логический диск, а этот диск заново отформатировать. Затем восстановить все файлы на этом логическом диске путем обратного копирования и с использованием архивных копий.

Профилактика против заражения вирусом

Профилактика в основном состоит в следующем.

Проверка информации, поступающей извне (дискеты, локальной сети и т. д.), с помощью программ-детекторов или программ-ревизоров. Для этого желательно использовать программы, которые проверяют не длину файла, а вычисляют его контрольную сумму, так как многие вирусы не изменяют длину зараженных файлов, а изменить файл так, чтобы его контрольная сумма осталась прежней, практически не возможно.

Если принесенные программы записаны на дискете в архивированном виде, то следует извлечь файлы из архива и проверить их сразу, только после этого файлы можно пускать в работу

Очень простой и надежной проверкой на наличие резидентных вирусов является отслеживание изменений в карте памяти компьютера, например, за прошедший день. Для этих целей можно использовать специальные программы, которые заносятся в командный файл autoexec.bat, выполняемый при начальной загрузке MS DOS. Весьма удачным выбором здесь может быть программа ADinf, которая умеет читать информацию с дисков без использования услуг DOS, так что ни один "невидимый" вирус не может ее обмануть. Это существенно сокращает время проверки, поскольку требуется проверить только вновь появившиеся или измененные файлы.

Информация на жестком диске может разрушиться не только вследствие действия компьютерного вируса или злого умысла вашего недоброжелателя, но и в результате физических и логических дефектов. Кроме того, неприятности могут возникнуть и по вашей собственной неосторожности — в случае ошибочного форматирования дисков или удаления файлов.

Для сохранения данных на диске необходимо:

— регулярное проведение профилактических работ;

— своевременное реагирование на первые признаки повреждения;

— соблюдение правил обращения с диском;

— систематическое резервное копирование.

Проведение профилактических работ

Регулярно проверяйте свой диск на наличие плохих (bad) секторов.

Для их обнаружения можно воспользоваться утилитой Disk Doctor из комплекта Norton Utilities.

Отметим, что входящая туда же утилита Calibrate может иногда сделать дефектный кластер на диске снова нормальным.

Рис. 4.8. Заставка программы Norton Disk Doctor

Если на вашем жестком диске достаточно места, то целесообразно из файла autoexec.bat (DOS) запускать утилиту Erase Protection, которая размещает удаленные файлы в специально выделенной области на диске, откуда они могут быть при необходимости извлечены. В других операционных системах имеются аналогичные средства.

Следует помнить, что единственным стопроцентно надежным способом уберечь вашу информацию от любых разрушительных случайностей является четкая, неукоснительно соблюдаемая система резервного копирования. Многолетний опыт как частных лиц, так и крупных предприятий во всем мире показывает, что при грамотном подходе (несколько "поколений" копий для каждого из ряда временных интервалов — месяц, неделя, день, полдня) вы не потеряете более одного рабочего дня на восстановление утраченной информации; в случае же, если последние копии архива содержат уже поврежденные файлы, вы имеете возможность вернуться к более ранним. С появлением доступных носителей CD-ROM ведение архивов облегчилось, поскольку необходимо хранить только целевые файлы и небольшое количество программ, основная же масса программного обеспечения легко восстанавливается с лазерных дисков или фирменных дистрибутивов (стоит, правда, напомнить, что известны случаи обнаружения вирусов и в тех и в других). Существует доступная возможность переписать информацию длительного хранения на лазерный диск, тем самым предохранив ее практически от всех неприятностей.

Действия при первых признаках повреждения диска

Наиболее типичными симптомами, предшествующими возникновению серьезных дефектов на диске — следующие:

— отсутствие доступа к отдельному файлу или появление в текстовых файлах посторонних символов;

— замедление работы дисковода;

— появление при записи и чтении информации звука, напоминающего фырканье насоса;

— неустойчивость процесса загрузки DOS.

При появлении какого-либо из перечисленных симптомов в первую очередь перепишите на дискеты наиболее важную информацию (которая еще доступна). Затем попытайтесь восстановить разметку утилитой Calibrate — для жесткого диска и Disk Tools — для дискет. Обе эти утилиты входят в состав Norton Utilities. Независимо от результатов переразметки завершите процесс восстановления обработкой диска утилитой Norton Disk Doctor.

Во многих случаях описанных действий достаточно для восстановления работоспособности диска. Однако иногда исправление дефектов в автоматическом режиме невозможно. В этом случае применяются специальные методы, описание которых выходит за рамки данной книги. Для изучения этого вопроса вам следует обратиться к специальной литературе.

Эксплуатация и обслуживание дисков

Приводы жестких дисков обычно в обслуживании не нуждаются. Диски располагаются в герметически закрытом корпусе. У вас никогда не должно появляться мыслей об очистке винчестера от пыли даже если внутри его находятся частицы пыли, все-равно срок его службы достаточно велик. Разборка винчестера с высокой вероятностью (99,99 %) приводит к его выходу из строя!

Для обеспечения безаварийной работы жесткого диска старайтесь воздерживаться от курения возле ПК. Особенно страдают дискеты. Частицы дыма и смол, оседающие на их поверхности, образуют слой, сравнимый с толщиной магнитного покрытия, и данные перестают читаться.

В отличие от жесткого диска, дисководы требуют регулярной очистки, поскольку в отверстие, предназначенное для установки дискет проникает пыль, табачный дым и др. Первичную очистку можно выполнять при помощи специальных пылесосов через мелкие щели. Не пользуйтесь мощными агрегатами, так как добычей пылесоса могут оказаться головка записи чтения или другие небольшие механические части, находящиеся внутри дисковода. Если же вы возьметесь за дело таким рьяным способом, то это профилактическое мероприятие приведет только к необходимости приобретения нового дисковода!

Рис. 4.9. Правила эксплуатации дискет

К значительным проблемам приводят осаждения пыли на головке записи/чтения. В результате на экране появляются сообщения типа "Can't read disc in drive А: " и другие.

Однако прежде чем вы решите, что виноват дефектный или грязный привод, проверьте используемые дискеты. Дискеты, которые без проблем читаются на других дисководах, должны читаться и на вашем. Таким образом, можно сразу же определить, действительно ли виноват дисковод.

Очистку рабочих головок необходимо поручать специалистам, а если еще не истек гарантийный срок дисководов, то изготовителям или поставщикам.

Если вы непременно хотите очистить рабочие головки самостоятельно, лучше воспользоваться специальными чистящими дискетами.

В заключение еще несколько советов по обращению с дискетами.

— Наряду с рекомендациями, которые находятся на конверте каждой дискеты, нужно хранить дискеты в закрытом ящике, что обеспечивает следующие преимущества: вы найдете необходимые данные быстрее, если не будете разыскивать дискеты по разным углам; вы защищаете дискеты от механического и магнитного влияния извне; вы обеспечиваете определенную степень защиты и безопасности дискетам и хранимым на них данным.

— Извлекайте дискеты из дисковода только тогда, когда индикатор LED погашен.

— Храните 5,25" дискеты в их защитном конверте.

— Подписывайте дискеты только с легким нажатием. Не давите на защитный футляр и не сгибайте дискету.

— Никогда не касайтесь пальцами незащищенной области дискеты.

— Не держите дискеты в месте с очень низкими или высокими температурами.

— Никогда не располагайте дискеты вблизи от источников электромагнитных полей (акустических систем, телевизора и др.). Вы должны помнить, что данные, потерянные по причине воздействия электромагнитного поля, как правило, восстановлению не подлежат, хотя в принципе это возможно. При транспортировке дискет заворачивайте их в фольгу; в противном случае три-четыре поездки на троллейбусе или трамвае могут оказаться фатальными для ваших данных.

— При перемещении важных данных не поленитесь записать их на дискету дважды, в разные каталоги, чтобы не пришлось совершать утомительные путешествия из-за сбоя в одном из ста файлов.

— Записав данные на дискету, убедитесь в их читабельности командой типа "A: \COPY *.* NUL".

4.3. Специальные средства защиты информации от несанкционированного доступа

Прохождение электрических сигналов по цепям ПК и соединительным кабелям сопровождается возникновением побочных электромагнитных излучений в окружающей среде. Распространение побочных электромагнитных излучений за пределы контролируемой территории создает предпосылки для утечки информации, так как возможен ее перехват с помощью специальных технических средств контроля. В персональном компьютере основными источниками электромагнитных излучений являются устройства ввода и вывода информации совместно с их адаптерами (монитор, принтер, клавиатура, печатающее устройство и т. д.), а также центральный процессор. Утечке информации в ПК способствует применение коротких видеоимпульсов прямоугольной формы и высокочастотных коммутирующих сигналов. Исследования показывают, что излучение видеосигнала монитора является достаточно мощным, широкополосным и охватывает диапазон метровых и дециметровых волн.

Для уменьшения уровня побочных электромагнитных излучений применяют специальные средства защиты информации' экранирование, фильтрацию, заземление, электромагнитное зашумление, а также средства ослабления уровней нежелательных электромагнитных излучений и наводок при помощи различных резистивных и поглощающих согласованных нагрузок.

Специальная проверка ПК заключается в проверке выполнения установленных требований по защите информации, а также в выявлении и анализе источников каналов утечки информации и разработке предложений по их закрытию. Специальную проверку, как правило, проводят организации (учреждения), являющиеся головными по защите информации в министерствах (ведомствах), разрабатывающих и изготавливающих аппаратуру контроля информации. Техническому контролю в ПК должны подвергаться следующие потенциальные и реальные каналы утечки информации.

Рис. 4.10. Перехват информации с ПК

— побочные электромагнитные излучения в диапазоне частот от 10 Гц до 1000 МГц;

— наводки сигналов в цепях электропитания, заземления, в линиях связи;

— опасные сигналы, образующиеся за счет электроакустических преобразований, которые могут происходить в специальной аппаратуре контроля информации. Эти сигналы должны контролироваться в диапазоне частот от 300 Гц до 3.4 кГц;

— каналы утечки информации, образующиеся в результате воздействия высокочастотных электромагнитных полей на различные провода, находящиеся в помещении, которые могут выступать в качестве приемной антенны. В этом случае проверка проводится в диапазоне частот от 20 кГц до 1000 МГц.

При контроле защиты информации ПК используются специально разработанные тестовые программы, а также специальная аппаратура контроля уровня излучения, которые определяют режим работы ПК, обеспечивающий совместно с другими техническими средствами скрытый режим работы для различных средств разведки.