Читаем Кибербезопасность в условиях электронного банкинга. Практическое пособие полностью

Но есть и более опасные возможности доставки РПВ от злоумышленника к вам. Эти способы известны специалистам и связаны с возможностью «навязать» антивирусной компании доставку вам в составе обновлений некоторой последовательности, которая при определенных условиях может быть преобразована в разрушающее программное воздействие. Чтобы блокировать угрозы такого рода, необходимо применение гораздо более сложных контрольных процедур, требующих аппаратной поддержки. Измениться при этом должна и процедура сертификации обновлений антивирусных баз.

Можно сказать и больше: в общем случае нельзя предотвратить доставку кода вируса на компьютер. Проиллюстрируем это на примере, предложенном проф. А.Ю. Щербаковым.

Пусть К — код РПВ; S₁ – случайное число такой же длины, как К.

Если ⊕ – операция сложения по модулю 2, легко вычислить S₂:

S₂ = S₁ ⊕ K.

Очевидно, что S₂ представляет собой случайное число как результат операции над случайным числом.

Таким образом, если на ваш компьютер последовательно попадут числа S₁ и S₂, их не признают опасными никакие антивирусные средства – ни антифаги, ни эвристические анализаторы, ни поведенческие блокираторы. Действительно, это же просто случайные числа! Никакой анализ не обнаружит в них ничего похожего на опасные части кода и тем более опасного поведения: случайные числа уж точно не программы и никак себя не ведут. Таким образом, числа S₁ и S₂ могут легко попасть на ваш компьютер.

Рассмотрим теперь сложившуюся ситуацию. На компьютере есть S₁ и S₂, и может быть выполнена операция ⊕. Тогда

S₁ ⊕ S₂ = S₁ ⊕ S₁ ⊕ K.

Так как S₁ ⊕ S₁ = 0 (как сумма по модулю 2 двух одинаковых чисел),

S₁ ⊕ S₂ = K,

то есть при сложении двух безопасных случайных чисел мы получили код разрушающего программного воздействия!

Не хотим никого огорчать, но справиться с таким видом доставки РПВ за счет антивирусных средств вообще невозможно.

Это звучит страшновато, но нужно ли пугаться? Сотни тысяч вирусов хранятся в антивирусных компаниях, и это не мешает им (компаниям) благоденствовать. Находящиеся в статическом состоянии вирусы никому не нанесут вреда, пока не будут исполнены. Таким образом, если контролировать запуск программ, то можно обезопасить себя от вирусов, находящихся на компьютере.

Вряд ли мысль о том, что вирусы вредят не тогда, когда они попадают на компьютер, а тогда, когда исполняются, покажется кому-либо новой. Скорее она покажется совершенно тривиальной – настолько, что даже говорить об этом как-то неудобно. Но вот что вызывает удивление: почему же тогда все усилия в борьбе с вирусами заканчиваются на борьбе с доставкой вирусов?

Почему никто не предложил технических средств, которые служили бы для того, чтобы вирусы не исполнялись? Да и можно ли вообще это сделать? Как пережить отрезок времени от создания вируса до обновления баз, содержащих его сигнатуру?

Оказывается, выход есть, и средства такие есть. Это средства защиты от несанкционированного доступа (НСД) – правда, не любые, а те, которые обладают развитыми системами управления доступом и контроля запуска задач. Такие системы защиты от НСД позволяют создать среду, в которой могут исполняться только разрешенные для исполнения задачи. Если в такой среде не предоставить права исполняться неизвестным задачам, то вирус и не исполнится.

Как создать такую среду исполнения, в которой вирус исполняться не будет, рассмотрим ниже. А пока остановимся на другом аспекте, который ярко проявляет сходство вирусов компьютерных и биологических.

В абсолютном большинстве случаев для исполнения вирусом его вредоносной функции необходимо заражение. Вирус должен записаться в долговременную память компьютера. За то, состоится ли заражение, отвечает иммунитет. Компьютер, в котором вирус даже после попадания в оперативную память не может записаться в долговременную, обладает «вирусным иммунитетом». Именно в этом смысле мы говорим о «вирусном иммунитете» компьютеров Новой гарвардской архитектуры.

На базе компьютеров Новой гарвардской архитектуры [117] можно создавать автоматизированные рабочие места (АРМ) для самых разных видов информационного взаимодействия. Ограничимся небольшим числом примеров, которые позволят понять логику формирования АРМ из компьютеров. Общая же идея такова, что эксплуатирующая организация получает не универсальное средство вычислительной техники (СВТ), которое она самостоятельно делает частью своей информационной системы и инструментом выполнения своих целевых функций, а сразу АРМ, подготовленное к конкретной системе и конкретным задачам.