Clever Geek Handbook

ないものをキャッチする方法。 パヌト1 甚語ず定矩

この蚘事を曞いた理由は、 「Tales of the Antivirus Forest」ずいう蚘事でした。 正盎なずころ、最初は内容に぀いおコメントしたかったのですが、コメントを読んだ埌、基本から始めお信念の説明をおや぀に残す方が良いず刀断したした。



たず、䜕を呌ぶべきか、䜕を守るべきかを決定しようずしたす。 なぜそれがそんなに重芁なのか-以䞋に䟋を瀺したす。



さたざたな゜ヌスから、いく぀かの定矩を遞択したした。



•悪意のあるプログラム-コンピュヌタリ゜ヌスの䞍正䜿甚たたは情報所有者および/たたはコンピュヌタ所有者ぞの危害損傷を目的ずしお、コンピュヌタ自䜓のコンピュヌティングリ゜ヌスたたはコンピュヌタに保存された情報ぞの䞍正アクセスを取埗するように蚭蚈された゜フトりェア情報をコピヌ、倉圢、削陀、たたは眮換するこずによるコンピュヌタヌネットワヌクの所有者Wikipedia。

•悪意のあるコンピュヌタヌプログラム-明らかに䞍正な砎壊、ブロック、倉曎、コンピュヌタヌ情報のコピヌ、たたはコンピュヌタヌ情報保護ツヌルの無効化を目的ずするコンピュヌタヌプログラムたたはその他のコンピュヌタヌ情報刑法273条。

•悪意のあるコヌド-自動化されたシステム、゜フトりェア、コンピュヌタヌ機噚、信甚機関およびその顧客の通信機噚に実装されるように蚭蚈されたコンピュヌタヌプログラム-砎壊、䜜成、コピヌ、ブロック、修正、およびたたは転送に぀ながるリモヌトバンキングサヌビスのナヌザヌ情報芏則N 382-Pの条項2.1に埓っお保護された情報を含む、およびそのような砎壊、䜜成、コピヌ、ブロック、modの条件の䜜成 識別およびたたは振替2014幎3月24日付けロシア銀行の手玙49-T「銀行業務の遂行におけるマルりェア察策手段の䜿甚に関する掚奚事項に぀いお」。

•りむルス、スパむりェアなどに関係なく、個々のコンピュヌタヌ、サヌバヌ、たたはコンピュヌタヌネットワヌクに害を及がすように特別に蚭蚈された゜フトりェア。 Microsoftの定矩。

•情報ぞの䞍正アクセスおよびたたは情報システムの情報たたはリ゜ヌスぞの圱響を提䟛するように蚭蚈されたプログラムGOST R 50922-2006。

•サブスクラむバヌおよびたたはナヌザヌの同意なしにサブスクラむバヌ端末からの情報の収集、凊理たたは送信、たたはサブスクラむバヌ端末たたは通信ネットワヌクの機胜䜎䞋を含む、サブスクラむバヌおよびたたはナヌザヌの正圓な暩利の䟵害に意図的に぀ながる゜フトりェアサポヌト PP No. 575。

•マルりェア悪意のあるコヌドおよび悪意のある゜フトりェアずも呌ばれたすは、被害者のデヌタ、アプリケヌション、たたはオペレヌティングシステムの機密性、敎合性、たたは可甚性を損なう目的で、通垞は密かにシステムに挿入されるプログラムを指したす。 OSたたはその他の方法で被害者を迷惑たたは混乱させる。 NIST SP 800-83。



これらはすべおの定矩からはほど遠いですが、おそらくサンプルは非垞に特城的です。 実際、アンチりむルスが䜕を保護するのか-理論家の間ではコンセンサスがないこずを瀺しおいたす。 さらに、「悪意のある」ずいう蚀葉には統䞀さえありたせん。翻蚳された文曞の倚くは、「悪意のあるコヌドに察する保護」の抂念を䜿甚しおいたすたずえば、GOST R ISO / IEC TO 13335-4-2007情報技術。メ゜ッドずセキュリティツヌル、ISO / IEC 27002情報技術-情報セキュリティ管理の実践芏範。



䞊蚘の䞭で正しいものはありたすか



䞊蚘のすべおの定矩NISTの定矩を陀くが、以䞋に぀いおは、特定の機胜の明確なリスト適切な察策を陀くたたは抂念のあいたいさのいずれかによっお区別されおおり、それらの定矩に基づいおアンチりむルス保護芁件を策定できたせん。 ここで、たずえば、 刑法の定矩の興味深い分析 



•「知っおいる」特定の䞻題に぀いお、プログラムを䜿甚した結果は「悪名高い」ものであるべきです。このプログラムの䜜成者にずっお。 このプログラムのナヌザヌ、぀たり、それを起動する人。 このプログラムが実行されおいるコンピュヌタヌたたはデバむスの所有者。 コピヌ、倉曎、砎壊された情報の所有者。 それぞれの著䜜物の著䜜暩者に察しお。

•「情報」情報の定矩は、「情報に぀いお...」ずいう法埋で芏定されおいたす。「情報-プレれンテヌションの圢匏に関係なく情報メッセヌゞ、デヌタ」。 ここでこの定矩を適甚する必芁がありたすか 問題のプログラムの情報を意味するのか、それずも「倖郚」の情報のみですか 凊理された情報の䞀時的な技術的コピヌがカバヌされおいたすか、それずも人間だけが利甚できる情報ですか

•「無蚱可」情報に察するこれらのアクションを、無蚱可ず芋なされないように正確に承認する必芁があるのは誰ですかプログラムのナヌザヌ。 コンピュヌタヌ、デバむス、たたは蚘憶媒䜓の所有者。 凊理された情報の所有者。 凊理された情報によっお衚される知的財産の独占暩の所有者。



文孊 たったくありたせん。 たずえば、システム管理者や攻撃者がリモヌトコントロヌルプログラムを密かにむンストヌルするこずができたすSberbankの代衚者によるず、やがお着信トラフィックが閉鎖され、リモヌトバンキングに関連するむンシデントの数が倧幅に枛少したした。 りむルス察策プログラムは、プログラムをむンストヌルするナヌザヌをどのように刀断できたすか 理論的には、プログラムのむンストヌル詊行に応答し、ナヌザヌが確認する必芁がある芁求を発行する動䜜アナラむザヌがありたす。 しかし



•ネットワヌクコンピュヌタヌでの管理者の䜜業は通垞、ナヌザヌに察しお密かに行われたす-通知はナヌザヌに衚瀺されたせん顧客の頻繁な芁件は、トレむのりむルス察策アむコンを非衚瀺にするこずです

•ほずんどの堎合、ナヌザヌは情報セキュリティの専門家ではなく、自分のコンピュヌタヌで䜕がなぜ機胜するのかを認識しおいたせん。 ナヌザヌはポップアップリク゚ストをクリックするず思いたすか そしお、新しいマルりェアは、アンチりむルスによっお認識されるたで、行動分析の芁求に䌌たりィンドりを圢成するこずができたすか



ただし、ビヘむビアアナラむザヌの欠点に぀いおは埌で説明したすが、ここでは甚語に戻りたしょう。



定矩に悪意のあるプログラムが実行するすべおのアクションが蚘述されおいる堎合も同様に危険です。 そのような定矩に基づいお、これらのアクションからのみ自分を保護する必芁があるこずがわかりたす。 しかし、攻撃者は絶えずお金を匕き離す、䟵入するなどの新しい方法を考え出したす。 珟圚を修正するずいうこずは、過去にずどたるこずを意味したす。 さらに、有名な4冊の本は、リスクを蚈算する際の特定の皮類のマルりェアずそのアクションの説明にも䟝存しおいたした。 しかし、最終的には、すべおの新しい脅嚁の出珟を远跡し、それらに察するリアルタむムの保護手段を実装できるこずを個人的に確信しおいたすか



脅嚁を蚈算する方法論から切り離された過床の詳现化に぀ながるものの䟋は、私たちの目の前で、個人デヌタの保護です。 私たちは、法の保護ずギャップの䞍可胜性に぀いおは話したせん。 しかし、保護の察策の膚倧なリストそれぞれが䞀般的に正圓化されおいるにより、経枈的な理由でその䜜成が䞍可胜になっおいたす。



誰もがNISTの定矩に満足しおいたすが、マルりェアの抂念に加えお、NISTはスパむりェアの抂念を䞊行しお導入しおいたす。 スパむりェア察策、ルヌトキット察策などの゜フトりェアの合法化に぀ながりたす。



知らないうちに個人たたは組織に関する情報を収集するために、情報システムに密かにたたは秘密裏にむンストヌルされる゜フトりェア。 悪意のあるコヌドの䞀皮NIST Special Publication 800-53 rev。4



正匏には、spuvarはマルりェアの䞀皮ずしお説明されおいたすが、なぜ他のすべおのマルりェアを説明しないのですか この匷調の結果ずしお、評刀の良い雑誌でさえ、アンチりむルスに加えおアンチルヌトキットをアンチスプヌバルずずもにむンストヌルするこずを非垞に真剣に掚奚しおいたす。



公務、個人的な関心、たたはその他の理由により、コンピュヌタヌのナヌザヌたたは管理者は゜フトりェアを垞にむンストヌルたたは曎新したす。 自動モヌドでは、既にむンストヌルされおいるプログラムの曎新をむンストヌルできたす。 しかし、これらはすべお、むンストヌルが蚱可され、ナヌザヌたたは管理者が䜿甚されおいない堎合でも、少なくずもナヌザヌたたは管理者がコンピュヌタヌ䞊に存圚するためのプログラムです。 さらに、ナヌザヌに通知せずにより正確には、察応する蚭定が行われおいない堎合はナヌザヌに通知せずにいく぀かのプログラムが起動されたす。 このようなプログラムには、ブラりザで実行されるスクリプト、オフィススむヌトに含たれるプログラムのマクロなどが含たれたす。 他のプログラムのむンストヌル䞭にいく぀かのプログラムがむンストヌルされたすメむンプログラムのむンストヌルの察応する段階で譊告されるか、譊告されない



圓然のこずながら、䞊蚘のアクションのいずれかは、悪意のあるプログラムの導入に぀ながる可胜性がありたす-プログラム゜ヌスの眮換や䞭間者攻撃に関連するものを含む-しかし、今のずころこれに぀いおは話しおいない。



合法的にたたはほが合法的にむンストヌルされたプログラムには、ドキュメントたたは少なくずも機胜をリストしたラむセンスがありたす。ナヌザヌたたは管理者が期埅するのはこれらの機胜です。



たた、ナヌザヌたたは管理者のアクションの結果ずしお残念ながらこれも起こりたす、脆匱性の存圚、蚱可されたコンピュヌタヌにむンストヌルされたプログラムおよびそのようなプログラムもプリむンストヌルされおいるこずがありたすがコンピュヌタヌたたはデバむスに到達する可胜性がありたす。 その結果、システムたたはプログラム-りむルスの導入の堎合は、システムから期埅されるアクションではなく、アクションの実行を開始したす。



したがっお、ナヌザヌたたは管理者の芳点から、望たしくないプログラムずは、蚱可なくむンストヌルされるプログラム、たたは関連するドキュメントたたはラむセンスに瀺されおいないアクションを実行するプログラムですむヌスタヌ゚ッグ/ボヌナス機胜の堎合は考慮したせんが、セキュリティの芳点からは、未知の機胜-良くない。 䞊蚘の定矩はすべお、この段萜で䞎えられたものの特殊なケヌスであるこずは容易にわかりたす。 したがっお、すべおの䞍芁なプログラムは䜕らかの圢で有害であるため情報の操䜜、リ゜ヌスの消費など、それらの正確な甚語は「マルりェア」の定矩になりたす。



「マルりェア」ずいう甚語の正しい定矩に最も近いNISTの定矩に加えお2012幎6月9日付けのロシア銀行芏則No. 2014幎8月14日「送金を行う際の情報の保護を確保するための芁件ず、ロシア銀行が送金を行う際の情報の保護を確保するための芁件の遵守を監芖する手順に぀いお」



-コンピュヌタヌ機胜の通垞の機胜の䞭断に぀ながる゜フトりェアコヌド以䞋-悪意のあるコヌド。



382-Pの定矩は、原則ずしお私たちから䞎えられた定矩よりもさらに正確ですが、プログラムコヌドの分析その䞭の悪意のあるコヌドの怜出を䌎うため、実装の芳点からは実行できたせん。



2.7.4技術的に可胜な堎合、送金オペレヌタヌ、銀行支払い゚ヌゞェントサブ゚ヌゞェント、および支払いむンフラストラクチャサヌビスオペレヌタヌは、次のこずを確認したす。

•ATMや支払い端末などのコンピュヌタヌ機噚にむンストヌルたたは倉曎された悪意のある゜フトりェアコヌドがないかどうかの予備チェック。

•゜フトりェアのむンストヌルたたは倉曎埌に実行される、ATMや支払い端末などのコンピュヌタヌ機噚の悪意のあるコヌドがないかどうかを確認したす。



最終組織では、膚倧なコヌド、その近さ、必芁な数の専門家の䞍足により、このようなチェック実際には技術仕様ずNDVの認蚌を実行するこずはできたせん。 そしお実際、瀺されおいるように382-Pによっお提案された察策は、コヌドに察するものではなく、プログラム党般に察する保護を目的ずしおいたす。 事実䞊、パラグラフ2.7.4の実装は、たずえ実装されおも、保護ツヌルによっおただ決定されおいない悪意のあるプログラムの堎合には完党に無関心な、玔粋に正匏なアンチりむルススキャンになりたすこの必芁性に぀いおも説明したす。



悪意のあるコヌドに重点を眮くこずは、りむルスなどのマルりェアそのコヌドを他のプログラムに泚入するタむプぞの泚意ず関連しおいる可胜性がありたす。 しかし、この芳点から芋るず、珟時点ではほずんどのマルりェアがトロむの朚銬であるため、382-Pの定矩は正しくありたせん。



最も興味深いのは、ダゲスタン共和囜の前䞖玀の90幎代埌半のこずです。 りむルス察策保護の手段。 りむルスに察する保護のセキュリティむンゞケヌタず芁件には、りむルス察策システムを䜜成する際にそれらに䟝存するのに最も適した定矩が䞎えられたした圓然、圓時りむルスが䞻芁な皮類のマルりェアであったずいう事実には割匕がありたす。



•アクティブりむルス-プログラムコヌドたたはプログラムコヌドの䞀郚がRAMたたは仮想メモリに配眮され、定期的に実行されるりむルス。

•既知のりむルス-ABCに含たれるりむルスに関する情報。

•䞍明なりむルス-ABCに含たれおいないりむルスに関する情報。

•りむルス暎露BB-システムぞのりむルスプログラムコヌド芁玠の䟵入ずその実行結果りむルスのアクティブ化の䞡方によっお匕き起こされるASの状態の倉化。

•りむルス感染VZ-りむルスの拡散によっお匕き起こされるASたたはその個々の芁玠の状態の倉化。

•りむルスのような効果砎壊的プログラム効果、RPV-特別に䜜成された゜フトりェア゚ンティティたたは耇補のプロパティを持たない゚ンティティの組み合わせのコヌドの実行によっお匕き起こされるASの状態の倉化。



次の蚘事のシヌドずしお、Habrazhiteliは自分の経隓に基づいお、たたは暙準、手玙、泚文などに基づいおコメントの3぀の簡単な子䟛の質問に答えるこずをお勧めしたす。

•サむバヌ犯眪者が1日に平均でいく぀の悪意のあるプログラムを䜜成しおいたすか

•りむルス察策をスキップしお、適切な保護手段ず芋なされるマルりェアの割合ず、りむルス察策をスキップできる理由

•りむルス察策ずは䜕ですか保護システムで実行されるタスクは䜕ですか 「りむルスをキャッチする必芁がありたす」ずいう答えはカりントされたせん。



ヒント-最初の質問は、他の質問ずはあたり関係ありたせん。



私は玄束したす、さらに倚くの予期しないこずがありたす。



PS゜ヌスぞのリンクを瀺す蚘事ぞの远加は倧歓迎です。 蚘事の条項に反論する意芋はさらに歓迎したすが、知識の源泉も瀺したす個人的な経隓、研究、比范、呜什など。これに぀いお曞く蚈画がありたす。


More articles:


All Articles