Интранет — это внутренняя сеть, специально разработанная для управления информацией внутри компании или, например, частной домашней сети. Интранет является единым пространством для хранения, обмена и доступа к информации для всех компьютеров сети. Поэтому, если какой-либо из компьютеров сети заражен, остальные компьютеры подвергаются огромному риску заражения. Во избежание возникновения таких ситуаций необходимо защищать не только периметр сети, но и каждый отдельный компьютер.

Нарушитель может получить информацию, только если он имеет доступ к этой локальной сети, так как введенная закладка выкачивает информацию именно в локальную сеть.

8.4.4.3. Электронная почта

Наличие почтовых приложений практически на каждом компьютере^ также то, что вредоносные программы полностью используют содержимое электронных адресных книг для выявления новых жертв, обеспечивает благоприятные условия для распространения вредоносных программ. Пользователь зараженного компьютера, сам тогоне подозревая, рассылает зараженные письма адресатам, которыев свою очередь отправляют новые зараженные письма и т. д. Нередки случаи, когда зараженный файл-документ по причине недосмотра попадает в списки рассылки коммерческой информации какой-либо крупной компании. В этом случае страдают не пять, а сотни или даже тысячи абонентов таких рассылок, которые затем разошлют зараженные файлы десяткам тысяч своих абонентов.

Электронная почта — один из самых распространенных видов взаимодействия нарушителя и программных закладок, т. к. информация, полученная в результате работы закладки, передается в электронном письме нарушителю без участия жертвы.

8.4.4.4. Методы защиты от программных закладок

Задача защиты от программных закладок может рассматриваться в трех принципиально различных вариантах:

• не допустить внедрения программной закладки в компьютерную систему;

• выявить внедренную программную закладку;

• удалить внедренную программную закладку.

При рассмотрении этих вариантов решение задачи защиты от программных закладок сходно с решением проблемы защиты компьютерных систем от вирусов. Как и в случае борьбы с вирусами, задача решается с помощью средств контроля за целостностью запускаемых системных и прикладных программ, а также за целостностью информации, хранимой в компьютерной системе и за критическими для функционирования системы событиями. Например, чтобы обеспечить защиту от клавиатурных шпионов необходимо ввести контроль целостности системных файлов и интерфейсных связей 611

подсистемы аутентификации. Кроме того, для надежной защиты от них администратор операционной системы должен соблюдать политику безопасности, при которой только администратор может конфигурировать цепочки программных модулей, участвующих в процессе аутентификации пользователей, осуществлять доступ к файлам этих программных модулей и конфигурировать саму подсистему аутентификации. Все эти меры должны осуществляться в комплексе.

Однако данные средства действенны только тогда, когда сами они не подвержены влиянию программных закладок которые могут:

• навязывать конечные результаты контрольных проверок;

• влиять на процесс считывания информации и запуск программ, за которыми осуществляется контроль;

• изменять алгоритмы функционирования средств контроля.

При этом чрезвычайно важно, чтобы включение средств контроля выполнялось до начала воздействия программной закладки либо когда контроль осуществлялся только с использованием программ управления, находящихся в ПЗУ компьютерной системы.

Универсальным средством защиты от внедрения программных закладок является создание изолированного компьютера. Компьютер называется изолированным, если выполнены следующие условия:

• в нем установлена система BIOS, не содержащая программных закладок;

• операционная система проверена на наличие в ней закладок;

• достоверно установлена неизменность BIOS и операционной системы для данного сеанса;

• на компьютере не запускалось и не запускается никаких иных программ, кроме уже прошедших проверку на присутствие в них закладок;

• исключен запуск проверенных программ в каких-либо иных условиях, кроме перечисленных выше, т. е. вне изолированного компьютера.

Для определения степени изолированности компьютера может использоваться модель ступенчатого контроля. Сначала проверяется, нет ли изменений в BIOS. Затем, если все в порядке, считывается загрузочный сектор диска и драйверы операционной системы, которые, в свою очередь, также анализируются на предмет внесения в них несанкционированных изменений. И наконец, с помощью операционной системы запускается драйвер контроля вызовов программ, который следит за тем, чтобы в компьютере запускались только проверенные программы.