Исследовательская работа
На тему: «Киберпреступность. Троянский конь»
Выполнил: ученик 9 А класса
Мухтаруллин А.А.
Научный руководитель:
учитель информатики,
Шульц Н.Г.
г. Муравленко, 2009 г.
СОДЕРЖАНИЕ
Введение
Глава 1. Условия существования киберпреступлений.
1.1. Киберпреступность как бизнес.
1.2. Принципы реализации атак.
Глава 2. «Троянского конь» в современных киберпреступлениях.
2.1. Сущность и классификация троянских программ.
2.2. Основные тенденции развития троянских программ.
Заключение
Список использованной литературы
ВВЕДЕНИЕ
В наши дни большинство людей значительную часть своего времени проводят в Интернете. Этот виртуальный мир во многом отражает мир реальный: преступность, являющаяся, к сожалению, неотъемлемой частью социума, существует и в виртуальном мире. Растущий обмен информационными данными в Интернете и электронные платежи – это именно тот лакомый кусок, который более всего привлекает злоумышленников. Структура современной киберпреступности практически сформирована: уже существуют четко определённые взаимоотношения и бизнес-модели.
Криминальная деятельность всегда была зеркальным отражением легального бизнеса: образ финансиста-мафиози — первое, что приходит в голову. Однако современная киберпреступность – это не одна-две мафиозных организации во главе с предводителем. Скорее, это мир, состоящий из взаимодополняющих и взаимодействующих друг с другом групп.
Современная киберпреступность развивается так же, как и любой другой бизнес. Прибыльность, управление рисками, освоение новых рынков тоже являются важными составляющими этого бизнеса
Цель исследования: изучение вредоносных программ, с целью предотвращения их воздействия.
Для достижения поставленной цели, были выбраны следующие задачи:
Рассмотреть условия существования киберпреступности.
Изучить сущность и классификацию троянских программ.
Выявить и проанализировать наиболее опасные троянские программы.
Гипотеза: знание сущности и оказываемого вреда вредоносными программами, поможет уменьшить их воздействие.
Предмет исследования: компьютерная преступность.
Объект исследования: троянские программы.
При написании работы применялись монографический и аналитический методы исследования.
Информационной базой для исследования являются нормативные документы в области компьютерной вирусологии, учебная литература, периодические издания, Интернет.
Глава 1. Условия существования киберпреступлений
1.1 Киберпреступность как бизнес
Важнейшей критерием оценки любого бизнеса является прибыльность, и киберпреступность здесь не исключение. Киберпреступность невероятно прибыльна! Огромные суммы денег оказываются в карманах преступников в результате отдельных крупных афер, не говоря уже о небольших суммах, которые идут просто потоком. Например, только в 2007 году практически каждый месяц совершалось одно серьезное преступление с использованием современной вычислительной и электронной техники.
Январь 2007. Российские хакеры с помощью своих шведских «коллег» украли 800 000 ЕВРО из шведского банка Nordea
Февраль 2007. Бразильская полиция арестовала 41 хакера за использование троянской программы для кражи банковской информации, которая позволила им заработать 4,74 миллиона долларов.
Февраль 2007. В Турции арестованы 17 членов банды интернет-мошенников, которым удалось украсть почти 500 000 долларов
Февраль 2007. Арестован Ли Чжун, создатель вируса “Панда” (Panda burning Incense), нацеленного на кражу паролей к онлайн-играм и учетным записям систем интернет-пейджинга. Предполагается, что на продаже своей вредоносной программы он заработал около 13 000 долларов.
Март 2007. Пять граждан восточно-европейских государств посажены в тюрьму в Великобритании за мошенничество с кредитными картами, их добыча составила порядка 1,7 миллионов фунтов стерлингов.
Июнь 2007. В Италии арестованы 150 киберпреступников, которые забрасывали итальянских пользователей мошенническими сообщениями. Их доход составил почти 1,25 миллионов евро.
Июль 2007. По неподтвержденным данным российские киберворы, используя троянскую программу, похитили 500 000 долларов у турецких банков
Август 2007. Украинец Максим Ястремский, известный также как Maksik, задержан в Турции за кибермошенничество с использованием электронных систем и незаконное присвоение десятков миллионов долларов.
Сентябрь 2007. Грегори Копилофф (Gregory Kopiloff) обвинен властями США в краже персональных данных с помощью файлообменных сетей Limewire и Soulseek. Полученную информацию он использовал для реализации мошеннических схем и выручил на этом тысячи долларов.
Октябрь 2007. В США арестован Грег Кинг (Greg King) за участие в организации февральской DDoS-атаки на сайт Castle Cops. Его приговорили к десяти годам тюремного заключения и штрафу 250 000 долларов.
Ноябрь 2007. ФБР арестовало восемь человек в ходе второй части операции Operation Bot Roast по борьбе с ботсетями. По результатам операции была названа сумма экономического ущерба, составившая более 20 млн. долларов, и выявлено более миллиона компьютеров-жертв.
Декабрь 2007. Киберпреступники взломали компьютеры департамента энергетики Национальной лаборатории Оак Риджа (ORNL), Теннесси, США. По имеющимся данным атаке подверглись также Национальная лаборатория в Лос Аламосе и Национальная лаборатория Лоуренса в Ливерморе, Калифорния. Были украдены более 12 000 номеров карт социального страхования и дат рождения посетителей ONRL за период с 1999 до 2004. Этот инцидент – из ряда проблем национальной безопасности, поскольку демонстрирует незащищенность отдельной личности в случае кражи идентификационных данных и финансового мошенничества.
Эти случаи – лишь вершина айсберга: сами потерпевшие и правоохранительные органы потрудились привлечь к ним внимание общественности. Но чаще всего организации, подвергшиеся атаке, сами проводят расследование, или этим занимаются правоохранительные органы – но без огласки. Результаты практически никогда не обнародуются. В диаграмме, взятой из отчета Института защиты информации в компьютерных системах, приведены причины, по которым организации предпочитают не сообщать о случаях компьютерного вторжения.
1.2 Принципы реализации атак
У каждого поколения преступников свои инструменты. Современные киберпреступники выбрали своим оружием троянские программы, с помощью которых они строят ботнеты для кражи паролей и конфиденциальной информации, проводят DoS атаки и шифруют данные, чтобы затем шантажировать своих жертв. Характерной и опасной чертой сегодняшних вредоносных программ является то, что они стремятся сохранить свое присутствие на инфицированной машине. Для достижения этой цели киберпреступники используют различные технологии.
В настоящее время некоторые преступники предпочитают проводить отдельные атаки, нацеленные на конкретные организации. Само по себе написание специальной программы для одной целевой атаки – задача трудоемкая, но важно еще обеспечить этой программе работоспособность на зараженном компьютере в течение долгого времени. Однако уж если эти целевые атаки удается запустить, успех им практически обеспечен: киберпреступники не только компенсируют себе все затраты на разработку и запуск атаки, но и получают солидную прибыль.
Современные киберпреступники для получения желаемого результата должны правильно организовать два важных момента: доставку и обеспечение работоспособности программы.
Первый шаг любого киберпреступления – доставка и установка вредоносной программы. Преступники используют несколько технологий для достижения этой цели. Основные современные способы распространения вредоносных программ (так называемые векторы заражения) – это спам-рассылки и зараженные веб-страницы. Идеальным для преступников является компьютер-жертва, который имеет уязвимость. Уязвимость позволяет преступникам установить вредоносную программу, как только она доставлена со спам-рассылкой, или с помощью так называемых технологий drive by download при посещении пользователем инфицированных интернет-сайтов.
Следующая задача киберпреступников после доставки вредоносной программы – как можно дольше сохранить ее необнаруженной. Вирусописатели используют несколько технологий для того, чтобы увеличить «срок службы» каждой части вредоносной программы.
Первостепенная стратегическая задача, стоящая перед любым вирусописателем, – сделать свою вредоносную программу невидимой не только для того, чтобы успешно ее доставить, но и для того, чтобы она «выжила». Чем менее видима программа для систем антивирусных радаров раннего оповещения, тем дольше ее можно будет использовать для получения доступа к зараженным компьютерам и сбора информации. Стандартные технологии сокрытия программы на компьютере включают применение руткитов, блокирование системы извещений об ошибках и окон предупреждений, выдаваемых антивирусом, сокрытие увеличения размеров файлов, использование множества разнообразных упаковщиков.
Во избежание обнаружения вредоносных программ вирусописатели широко используют технологию умышленного запутывания. Полиморфизм – одна из таких технологий, он был популярен в 90-х годах, но затем фактически исчез. Сегодня вирусописатели вернулись к полиморфизму, но они редко предпринимают попытки изменять код на компьютерах жертв. Вместо этого применяется так называемый «серверный полиморфизм» — изменение кода на веб-серверах с включением в него «пустых» инструкций, изменяющихся с течением времени, что существенно затрудняет обнаружение новых вредоносных программ, размещенных на веб-сервере.
Глава 2. «Троянского конь» в современных киберпреступлениях
2.1 Сущность и классификация троянских программ
Троянская программа (также — троя́н, троя́нец, троя́нский конь, тро́й) — программа, используемая злоумышленником для сбора информации, её разрушения или модификации, нарушения работоспособности компьютера или использования его ресурсов в неблаговидных целях. По принципу распространения и действия троян не является вирусом, так как не способен распространяться саморазмножением.
Троянская программа запускается пользователем вручную или автоматически — программой или частью операционной системы, выполняемой на компьютере-жертве (как модуль или служебная программа). Для этого файл программы (его название, иконку программы) называют служебным именем, маскируют под другую программу (например, установки другой программы), файл другого типа или просто дают привлекательное для запуска название, иконку и т. п.
Схожие вредоносные и маскировочные функции также используются компьютерными вирусами, но в отличие от них, троянские программы не умеют распространяться самостоятельно. Вместе с тем, троянская программа может быть модулем вируса.
Троянские программы различаются между собой по тем действиям, которые они производят на зараженном компьютере.
Backdoor — троянские утилиты удаленного администрирования
Утилиты скрытого управления позволяют делать с компьютером все, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т. д.
Trojan-PSW — воровство паролей
При запуске PSW-троянцы ищут сиcтемные файлы, хранящие различную конфиденциальную информацию (обычно номера телефонов и пароли доступа к интернету) и отсылают ее по указанному в коде «троянца» электронному адресу или адресам.
Trojan-Clicker — интернет-кликеры
Семейство троянских программ, основная функция которых — организация несанкционированных обращений к интернет-ресурсам.
Trojan-Downloader — доставка прочих вредоносных программ
Троянские программы этого класса предназначены для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки «троянцев» или рекламных систем.
Trojan-Dropper — инсталляторы прочих вредоносных программ
В результате использования программ данного класса хакеры достигают двух целей: скрытная инсталляция троянских программ и/или вирусов; защита от антивирусных программ, поскольку не все из них в состоянии проверить все компоненты внутри файлов этого типа.
Trojan-Proxy — троянские прокси-сервера
Семейство троянских программ, скрытно осуществляющих анонимный доступ к различным интернет-ресурсам. Обычно используются для рассылки спама.
Trojan-Spy — шпионские программы
Данные троянцы осуществляют электронный шпионаж за пользователем зараженного компьютера: вводимая с клавиатуры информация, снимки экрана, список активных приложений и действия пользователя с ними сохраняются в какой-либо файл на диске и периодически отправляются злоумышленнику.
Trojan-Notifier — оповещение об успешной атаке
Троянцы данного типа предназначены для сообщения своему «хозяину» о зараженном компьютере.
2.2 Основные тенденции развития троянских программ
В программах, относящихся к классу троянских, на сегодняшний день можно выделить следующие основные тенденции:
Значительный рост числа программ-шпионов, крадущих конфиденциальную банковскую информацию. Новые варианты подобных программ появляются десятками за неделю и отличаются большим разнообразием и принципами работы. Некоторые из них ограничиваются простым сбором всех вводимых с клавиатуры данных и отправкой их по электронной почте злоумышленнику. Наиболее мощные могут предоставлять автору полный контроль над зараженной машиной, отсылать мегабайты собранных данных на удаленные сервера, получать оттуда команды для дальнейшей работы.
Стремление к получению тотального контроля над зараженными компьютерами. Это выражается в объединении их в зомби-сети, управляемые из единого центра.
Использование зараженных машин для рассылки через них спама или организации атак.
Отдельного рассмотрения требуют такие классы программ, как Trojan-Dropper и Trojan-Downloader. Конечные цели у них абсолютно идентичны — установка на компьютер другой вредоносной программы, которая может быть как червем, так и «троянцем». Отличается только принцип их действия. «Дропперы» могут содержать в себе уже известную вредоносную программу или наоборот — устанавливать новую ее версию. Также «дропперы» могут устанавливать не одну, а сразу несколько вредоносных программ, принципиально отличающихся по поведению и даже написанных разными людьми.
Оба эти класса вредоносных программ используются для установки на компьютеры не только троянских программ, но и различных рекламных (advware) или порнографических (pornware) программ.
По итогам работы антивирусных служб в 2008 году зафиксировано 23 680 646 атак на российских пользователей, которые были успешно отражены.
Таблица 1.
Рейтинг троянских программ в 2008 году
№ п/п | Название | Количество | Процент |
1 | Heur.Trojan.Generic | 248857 | 7,08% |
2 | Trojan-Downloader.Win32.Small.aacq | 228539 | 6,50% |
3 | Trojan-Clicker.HTML.IFrame.wq | 177247 | 5,04% |
4 | Trojan-Downloader.SWF.Small.ev | 135035 | 3,84% |
5 | Trojan-Clicker.HTML.IFrame.yo | 121693 | 3,46% |
6 | Trojan-Downloader.HTML.IFrame.wf | 107093 | 3,05% |
7 | Trojan-Downloader.Win32.Small.abst | 78014 | 2,22% |
8 | Trojan-Downloader.JS.Agent.dau | 73777 | 2,10% |
9 | Trojan-Downloader.JS.IstBar.cx | 68078 | 1,94% |
10 | Trojan-GameThief.Win32.Magania.gen | 66136 | 1,88% |
11 | Trojan-Downloader.JS.Iframe.yv | 62334 | 1,77% |
12 | Trojan.HTML.Agent.ai | 60461 | 1,72% |
13 | Trojan-Downloader.JS.Agent.czf | 41995 | 1,20% |
Наиболее распространенной и активной вредоносной программой 2008 года является Trojan-Downloader.Win32.Small.aacq.
По итогам работы антивирусных служб в январе 2009 года мы сформировали главную вирусную двадцатку.
В этой таблице зафиксированы те вредоносные, рекламные и потенциально опасные программы, которые были детектированы на компьютерах пользователей.
Таблица 2.
Рейтинг вредоносных программ в январе 2009 года.
Позиция | Изменение позиции | Вредоносная программа |
1 | Virus.Win32.Sality.aa | |
2 | Packed.Win32.Krap.b | |
3 | 1 | Worm.Win32.AutoRun.dui |
4 | -1 | Trojan-Downloader.Win32.VB.eql |
5 | 3 | Trojan.Win32.Autoit.ci |
6 | Trojan-Downloader.WMA.GetCodec.c | |
7 | 2 | Packed.Win32.Black.a |
8 | -1 | Virus.Win32.Alman.b |
9 | 5 | Trojan.Win32.Obfuscated.gen |
10 | 10 | Trojan-Downloader.WMA.GetCodec.r |
11 | новинка | Exploit.JS.Agent.aak |
12 | -1 | Worm.Win32.Mabezat.b |
13 | -3 | Worm.Win32.AutoIt.ar |
14 | 1 | Email-Worm.Win32.Brontok.q |
15 | новинка | Virus.Win32.Sality.z |
16 | новинка | Net-Worm.Win32.Kido.ih |
17 | появление вновь | Trojan-Downloader.WMA.Wimad.n |
18 | -2 | Virus.Win32.VB.bu |
19 | -2 | Trojan.Win32.Agent.abt |
20 | новинка | Worm.Win32.AutoRun.vnq |
Появившиеся в декабрьском рейтинге Trojan.HTML.Agent.ai и Trojan-Downloader.JS.Agent.czm в этом месяце нашли себе замену в виде Exploit.JS.Agent.aak. Исчезнувшего из рейтинга червя AutoRun.eee заменяет теперь Worm.Win32.AutoRun.vnq. Это вполне закономерно, так как частые смены модификаций характерны для этих классов зловредных программ.
Выбывший из рейтинга в ноябре Trojan-Downloader.WMA.Wimad.n вернулся в игру. Таким образом, в рейтинге мы имеем сразу три нестандартных загрузчика, что свидетельствует о массовом распространении такого типа троянских программ и доверии пользователей файлам мультимедиа. Более того, схема распространения зловредных программ с использованием мультимедийных загрузчиков оказалась весьма эффективной. Это подтверждается скачком Trojan-Downloader.WMA.GetCodec.r сразу на 10 пунктов вверх.
ЗАКЛЮЧЕНИЕ
Скорее всего, мировой финансовый кризис никак не затронет игровую индустрию, и в 2009 году развитие игровых миров продолжится.
Атаки злоумышленников становятся все масштабнее и изощреннее. А действия игроков способствуют росту черного рынка виртуальных ценностей, на чем зарабатывают деньги хакеры и вирусописатели.
«Троянский конь» является наиболее опасной из всех вредоносных программ, поскольку:
Во-первых, кризис заставляет интернет-пользователей более нервно реагировать на любые события, связанные с платежными системами, онлайн-банкингом, электронными деньгами. В период, когда банки разоряются, меняют владельцев или испытывают проблемы с выплатами, появляется много новых возможностей для атак на пользователей.
Во-вторых, учитывая, что современные вредоносные программы требуют все больше ресурсов для их разработки, распространения и использования, для множества злоумышленников на первый план выходят более простые, дешевые и грубые методы атак. Троянские программы могут стать для киберпреступников одним из наиболее привлекательных решений.
Для того чтобы справиться с киберпреступностью, необходимо создавать и внедрять защитные стратегии. На самом деле программное обеспечение для борьбы с вредоносными программами и стратегии по управлению рисками важны на всех уровнях.
По моему мнению помимо соответствующих стратегий защиты успешная борьба с киберпреступностью требует совместных усилий. Должен действовать интернет-Интерпол, должна вестись постоянная разъяснительная работа, подобная той, которая ведется по поводу необходимости использовать ремни безопасности в автомобиле. Должны существовать правила, соблюдение которых будет обязательно при нахождении в интернете. Эти же правила должны поддерживать действия правоохранительных органов. Как и в случае с ремнями безопасности, требуется длительная и упорная воспитательная работа для того, чтобы пользователи осознали необходимость таких мер.
РЕКОМЕНДАЦИИ
Результаты данного исследования могут стать полезными всем пользователям персональных компьютеров, заботящихся о сохранности своих документов и об информационной безопасности.
Также их можно применить на уроках информатики, для ознакомления учеников с вредоносными программами. Важно еще со школы осознавать наносимый вред киберпреступлениями.
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
1. Фридланд А.Я. Информатика и компьютерные технологии: Основные термины: Толков. Слов.: Более 1000 базовых понятий и терминов. – 3-е изд. испр. и доп./ А.Я. Фридланд, Л.С. Ханамирова, И.А. Фридланд. – М.: ООО «Издательство Астрель», 2003. – 272 с.
2. Шафрин Ю.А. 1500 основных понятий, терминов и практических советов для пользователей персональным компьютером. – М.: Дрофа, 2001. – 272 с.
3. Первин Ю.А. Информатика дома и в школе. Книга для ученика. – СПб.: БХВ – Петербург, 2003. – 352 с.
4. Интернет сайт www.metod-kopilka.ru
5. Интернет сайт ru.wikipedia.org/wiki/троянские_программы
6. Интернет сайт www.viruslist.com/ru/analysis?pubid=204007644
7. Интернет сайт www.viruslist.com/ru/analysis?pubid=204007643
Приложение 1
Типовая архитектура системы выявления атак.
Приложение 2
www.ronl.ru
Исследовательская работа
На тему: «Киберпреступность. Троянский конь»
Выполнил: ученик 9 А класса
Мухтаруллин А.А.
Научный руководитель:
учитель информатики,
Шульц Н.Г.
г. Муравленко, 2009 г.
СОДЕРЖАНИЕ
Введение
Глава 1. Условия существования киберпреступлений.
1.1. Киберпреступность как бизнес.
1.2. Принципы реализации атак.
Глава 2. «Троянского конь» в современных киберпреступлениях.
2.1. Сущность и классификация троянских программ.
2.2. Основные тенденции развития троянских программ.
Заключение
Список использованной литературы
ВВЕДЕНИЕ
В наши дни большинство людей значительную часть своего времени проводят в Интернете. Этот виртуальный мир во многом отражает мир реальный: преступность, являющаяся, к сожалению, неотъемлемой частью социума, существует и в виртуальном мире. Растущий обмен информационными данными в Интернете и электронные платежи – это именно тот лакомый кусок, который более всего привлекает злоумышленников. Структура современной киберпреступности практически сформирована: уже существуют четко определённые взаимоотношения и бизнес-модели.
Криминальная деятельность всегда была зеркальным отражением легального бизнеса: образ финансиста-мафиози — первое, что приходит в голову. Однако современная киберпреступность – это не одна-две мафиозных организации во главе с предводителем. Скорее, это мир, состоящий из взаимодополняющих и взаимодействующих друг с другом групп.
Современная киберпреступность развивается так же, как и любой другой бизнес. Прибыльность, управление рисками, освоение новых рынков тоже являются важными составляющими этого бизнеса
Цель исследования: изучение вредоносных программ, с целью предотвращения их воздействия.
Для достижения поставленной цели, были выбраны следующие задачи:
Рассмотреть условия существования киберпреступности.
Изучить сущность и классификацию троянских программ.
Выявить и проанализировать наиболее опасные троянские программы.
Гипотеза: знание сущности и оказываемого вреда вредоносными программами, поможет уменьшить их воздействие.
Предмет исследования: компьютерная преступность.
Объект исследования: троянские программы.
При написании работы применялись монографический и аналитический методы исследования.
Информационной базой для исследования являются нормативные документы в области компьютерной вирусологии, учебная литература, периодические издания, Интернет.
Глава 1. Условия существования киберпреступлений
1.1 Киберпреступность как бизнес
Важнейшей критерием оценки любого бизнеса является прибыльность, и киберпреступность здесь не исключение. Киберпреступность невероятно прибыльна! Огромные суммы денег оказываются в карманах преступников в результате отдельных крупных афер, не говоря уже о небольших суммах, которые идут просто потоком. Например, только в 2007 году практически каждый месяц совершалось одно серьезное преступление с использованием современной вычислительной и электронной техники.
Январь 2007. Российские хакеры с помощью своих шведских «коллег» украли 800 000 ЕВРО из шведского банка Nordea
Февраль 2007. Бразильская полиция арестовала 41 хакера за использование троянской программы для кражи банковской информации, которая позволила им заработать 4,74 миллиона долларов.
Февраль 2007. В Турции арестованы 17 членов банды интернет-мошенников, которым удалось украсть почти 500 000 долларов
Февраль 2007. Арестован Ли Чжун, создатель вируса “Панда” (Panda burning Incense), нацеленного на кражу паролей к онлайн-играм и учетным записям систем интернет-пейджинга. Предполагается, что на продаже своей вредоносной программы он заработал около 13 000 долларов.
Март 2007. Пять граждан восточно-европейских государств посажены в тюрьму в Великобритании за мошенничество с кредитными картами, их добыча составила порядка 1,7 миллионов фунтов стерлингов.
Июнь 2007. В Италии арестованы 150 киберпреступников, которые забрасывали итальянских пользователей мошенническими сообщениями. Их доход составил почти 1,25 миллионов евро.
Июль 2007. По неподтвержденным данным российские киберворы, используя троянскую программу, похитили 500 000 долларов у турецких банков
Август 2007. Украинец Максим Ястремский, известный также как Maksik, задержан в Турции за кибермошенничество с использованием электронных систем и незаконное присвоение десятков миллионов долларов.
Сентябрь 2007. Грегори Копилофф (Gregory Kopiloff) обвинен властями США в краже персональных данных с помощью файлообменных сетей Limewire и Soulseek. Полученную информацию он использовал для реализации мошеннических схем и выручил на этом тысячи долларов.
Октябрь 2007. В США арестован Грег Кинг (Greg King) за участие в организации февральской DDoS-атаки на сайт Castle Cops. Его приговорили к десяти годам тюремного заключения и штрафу 250 000 долларов.
Ноябрь 2007. ФБР арестовало восемь человек в ходе второй части операции Operation Bot Roast по борьбе с ботсетями. По результатам операции была названа сумма экономического ущерба, составившая более 20 млн. долларов, и выявлено более миллиона компьютеров-жертв.
Декабрь 2007. Киберпреступники взломали компьютеры департамента энергетики Национальной лаборатории Оак Риджа (ORNL), Теннесси, США. По имеющимся данным атаке подверглись также Национальная лаборатория в Лос Аламосе и Национальная лаборатория Лоуренса в Ливерморе, Калифорния. Были украдены более 12 000 номеров карт социального страхования и дат рождения посетителей ONRL за период с 1999 до 2004. Этот инцидент – из ряда проблем национальной безопасности, поскольку демонстрирует незащищенность отдельной личности в случае кражи идентификационных данных и финансового мошенничества.
Эти случаи – лишь вершина айсберга: сами потерпевшие и правоохранительные органы потрудились привлечь к ним внимание общественности. Но чаще всего организации, подвергшиеся атаке, сами проводят расследование, или этим занимаются правоохранительные органы – но без огласки. Результаты практически никогда не обнародуются. В диаграмме, взятой из отчета Института защиты информации в компьютерных системах, приведены причины, по которым организации предпочитают не сообщать о случаях компьютерного вторжения.
1.2 Принципы реализации атак
У каждого поколения преступников свои инструменты. Современные киберпреступники выбрали своим оружием троянские программы, с помощью которых они строят ботнеты для кражи паролей и конфиденциальной информации, проводят DoS атаки и шифруют данные, чтобы затем шантажировать своих жертв. Характерной и опасной чертой сегодняшних вредоносных программ является то, что они стремятся сохранить свое присутствие на инфицированной машине. Для достижения этой цели киберпреступники используют различные технологии.
В настоящее время некоторые преступники предпочитают проводить отдельные атаки, нацеленные на конкретные организации. Само по себе написание специальной программы для одной целевой атаки – задача трудоемкая, но важно еще обеспечить этой программе работоспособность на зараженном компьютере в течение долгого времени. Однако уж если эти целевые атаки удается запустить, успех им практически обеспечен: киберпреступники не только компенсируют себе все затраты на разработку и запуск атаки, но и получают солидную прибыль.
Современные киберпреступники для получения желаемого результата должны правильно организовать два важных момента: доставку и обеспечение работоспособности программы.
Первый шаг любого киберпреступления – доставка и установка вредоносной программы. Преступники используют несколько технологий для достижения этой цели. Основные современные способы распространения вредоносных программ (так называемые векторы заражения) – это спам-рассылки и зараженные веб-страницы. Идеальным для преступников является компьютер-жертва, который имеет уязвимость. Уязвимость позволяет преступникам установить вредоносную программу, как только она доставлена со спам-рассылкой, или с помощью так называемых технологий drive by download при посещении пользователем инфицированных интернет-сайтов.
Следующая задача киберпреступников после доставки вредоносной программы – как можно дольше сохранить ее необнаруженной. Вирусописатели используют несколько технологий для того, чтобы увеличить «срок службы» каждой части вредоносной программы.
Первостепенная стратегическая задача, стоящая перед любым вирусописателем, – сделать свою вредоносную программу невидимой не только для того, чтобы успешно ее доставить, но и для того, чтобы она «выжила». Чем менее видима программа для систем антивирусных радаров раннего оповещения, тем дольше ее можно будет использовать для получения доступа к зараженным компьютерам и сбора информации. Стандартные технологии сокрытия программы на компьютере включают применение руткитов, блокирование системы извещений об ошибках и окон предупреждений, выдаваемых антивирусом, сокрытие увеличения размеров файлов, использование множества разнообразных упаковщиков.
Во избежание обнаружения вредоносных программ вирусописатели широко используют технологию умышленного запутывания. Полиморфизм – одна из таких технологий, он был популярен в 90-х годах, но затем фактически исчез. Сегодня вирусописатели вернулись к полиморфизму, но они редко предпринимают попытки изменять код на компьютерах жертв. Вместо этого применяется так называемый «серверный полиморфизм» — изменение кода на веб-серверах с включением в него «пустых» инструкций, изменяющихся с течением времени, что существенно затрудняет обнаружение новых вредоносных программ, размещенных на веб-сервере.
Глава 2. «Троянского конь» в современных киберпреступлениях
2.1 Сущность и классификация троянских программ
Троянская программа (также — троя́н, троя́нец, троя́нский конь, тро́й) — программа, используемая злоумышленником для сбора информации, её разрушения или модификации, нарушения работоспособности компьютера или использования его ресурсов в неблаговидных целях. По принципу распространения и действия троян не является вирусом, так как не способен распространяться саморазмножением.
Троянская программа запускается пользователем вручную или автоматически — программой или частью операционной системы, выполняемой на компьютере-жертве (как модуль или служебная программа). Для этого файл программы (его название, иконку программы) называют служебным именем, маскируют под другую программу (например, установки другой программы), файл другого типа или просто дают привлекательное для запуска название, иконку и т. п.
Схожие вредоносные и маскировочные функции также используются компьютерными вирусами, но в отличие от них, троянские программы не умеют распространяться самостоятельно. Вместе с тем, троянская программа может быть модулем вируса.
Троянские программы различаются между собой по тем действиям, которые они производят на зараженном компьютере.
Backdoor — троянские утилиты удаленного администрирования
Утилиты скрытого управления позволяют делать с компьютером все, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т. д.
Trojan-PSW — воровство паролей
При запуске PSW-троянцы ищут сиcтемные файлы, хранящие различную конфиденциальную информацию (обычно номера телефонов и пароли доступа к интернету) и отсылают ее по указанному в коде «троянца» электронному адресу или адресам.
Trojan-Clicker — интернет-кликеры
Семейство троянских программ, основная функция которых — организация несанкционированных обращений к интернет-ресурсам.
Trojan-Downloader — доставка прочих вредоносных программ
Троянские программы этого класса предназначены для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки «троянцев» или рекламных систем.
Trojan-Dropper — инсталляторы прочих вредоносных программ
В результате использования программ данного класса хакеры достигают двух целей: скрытная инсталляция троянских программ и/или вирусов; защита от антивирусных программ, поскольку не все из них в состоянии проверить все компоненты внутри файлов этого типа.
Trojan-Proxy — троянские прокси-сервера
Семейство троянских программ, скрытно осуществляющих анонимный доступ к различным интернет-ресурсам. Обычно используются для рассылки спама.
Trojan-Spy — шпионские программы
Данные троянцы осуществляют электронный шпионаж за пользователем зараженного компьютера: вводимая с клавиатуры информация, снимки экрана, список активных приложений и действия пользователя с ними сохраняются в какой-либо файл на диске и периодически отправляются злоумышленнику.
Trojan-Notifier — оповещение об успешной атаке
Троянцы данного типа предназначены для сообщения своему «хозяину» о зараженном компьютере.
2.2 Основные тенденции развития троянских программ
В программах, относящихся к классу троянских, на сегодняшний день можно выделить следующие основные тенденции:
Значительный рост числа программ-шпионов, крадущих конфиденциальную банковскую информацию. Новые варианты подобных программ появляются десятками за неделю и отличаются большим разнообразием и принципами работы. Некоторые из них ограничиваются простым сбором всех вводимых с клавиатуры данных и отправкой их по электронной почте злоумышленнику. Наиболее мощные могут предоставлять автору полный контроль над зараженной машиной, отсылать мегабайты собранных данных на удаленные сервера, получать оттуда команды для дальнейшей работы.
Стремление к получению тотального контроля над зараженными компьютерами. Это выражается в объединении их в зомби-сети, управляемые из единого центра.
Использование зараженных машин для рассылки через них спама или организации атак.
Отдельного рассмотрения требуют такие классы программ, как Trojan-Dropper и Trojan-Downloader. Конечные цели у них абсолютно идентичны — установка на компьютер другой вредоносной программы, которая может быть как червем, так и «троянцем». Отличается только принцип их действия. «Дропперы» могут содержать в себе уже известную вредоносную программу или наоборот — устанавливать новую ее версию. Также «дропперы» могут устанавливать не одну, а сразу несколько вредоносных программ, принципиально отличающихся по поведению и даже написанных разными людьми.
Оба эти класса вредоносных программ используются для установки на компьютеры не только троянских программ, но и различных рекламных (advware) или порнографических (pornware) программ.
По итогам работы антивирусных служб в 2008 году зафиксировано 23 680 646 атак на российских пользователей, которые были успешно отражены.
Таблица 1.
Рейтинг троянских программ в 2008 году
№ п/п | Название | Количество | Процент |
1 | Heur.Trojan.Generic | 248857 | 7,08% |
2 | Trojan-Downloader.Win32.Small.aacq | 228539 | 6,50% |
3 | Trojan-Clicker.HTML.IFrame.wq | 177247 | 5,04% |
4 | Trojan-Downloader.SWF.Small.ev | 135035 | 3,84% |
5 | Trojan-Clicker.HTML.IFrame.yo | 121693 | 3,46% |
6 | Trojan-Downloader.HTML.IFrame.wf | 107093 | 3,05% |
7 | Trojan-Downloader.Win32.Small.abst | 78014 | 2,22% |
8 | Trojan-Downloader.JS.Agent.dau | 73777 | 2,10% |
9 | Trojan-Downloader.JS.IstBar.cx | 68078 | 1,94% |
10 | Trojan-GameThief.Win32.Magania.gen | 66136 | 1,88% |
11 | Trojan-Downloader.JS.Iframe.yv | 62334 | 1,77% |
12 | Trojan.HTML.Agent.ai | 60461 | 1,72% |
13 | Trojan-Downloader.JS.Agent.czf | 41995 | 1,20% |
Наиболее распространенной и активной вредоносной программой 2008 года является Trojan-Downloader.Win32.Small.aacq.
По итогам работы антивирусных служб в январе 2009 года мы сформировали главную вирусную двадцатку.
В этой таблице зафиксированы те вредоносные, рекламные и потенциально опасные программы, которые были детектированы на компьютерах пользователей.
Таблица 2.
Рейтинг вредоносных программ в январе 2009 года.
Позиция | Изменение позиции | Вредоносная программа |
1 | Virus.Win32.Sality.aa | |
2 | Packed.Win32.Krap.b | |
3 | 1 | Worm.Win32.AutoRun.dui |
4 | -1 | Trojan-Downloader.Win32.VB.eql |
5 | 3 | Trojan.Win32.Autoit.ci |
6 | Trojan-Downloader.WMA.GetCodec.c | |
7 | 2 | Packed.Win32.Black.a |
8 | -1 | Virus.Win32.Alman.b |
9 | 5 | Trojan.Win32.Obfuscated.gen |
10 | 10 | Trojan-Downloader.WMA.GetCodec.r |
11 | новинка | Exploit.JS.Agent.aak |
12 | -1 | Worm.Win32.Mabezat.b |
13 | -3 | Worm.Win32.AutoIt.ar |
14 | 1 | Email-Worm.Win32.Brontok.q |
15 | новинка | Virus.Win32.Sality.z |
16 | новинка | Net-Worm.Win32.Kido.ih |
17 | появление вновь | Trojan-Downloader.WMA.Wimad.n |
18 | -2 | Virus.Win32.VB.bu |
19 | -2 | Trojan.Win32.Agent.abt |
20 | новинка | Worm.Win32.AutoRun.vnq |
Появившиеся в декабрьском рейтинге Trojan.HTML.Agent.ai и Trojan-Downloader.JS.Agent.czm в этом месяце нашли себе замену в виде Exploit.JS.Agent.aak. Исчезнувшего из рейтинга червя AutoRun.eee заменяет теперь Worm.Win32.AutoRun.vnq. Это вполне закономерно, так как частые смены модификаций характерны для этих классов зловредных программ.
Выбывший из рейтинга в ноябре Trojan-Downloader.WMA.Wimad.n вернулся в игру. Таким образом, в рейтинге мы имеем сразу три нестандартных загрузчика, что свидетельствует о массовом распространении такого типа троянских программ и доверии пользователей файлам мультимедиа. Более того, схема распространения зловредных программ с использованием мультимедийных загрузчиков оказалась весьма эффективной. Это подтверждается скачком Trojan-Downloader.WMA.GetCodec.r сразу на 10 пунктов вверх.
ЗАКЛЮЧЕНИЕ
Скорее всего, мировой финансовый кризис никак не затронет игровую индустрию, и в 2009 году развитие игровых миров продолжится.
Атаки злоумышленников становятся все масштабнее и изощреннее. А действия игроков способствуют росту черного рынка виртуальных ценностей, на чем зарабатывают деньги хакеры и вирусописатели.
«Троянский конь» является наиболее опасной из всех вредоносных программ, поскольку:
Во-первых, кризис заставляет интернет-пользователей более нервно реагировать на любые события, связанные с платежными системами, онлайн-банкингом, электронными деньгами. В период, когда банки разоряются, меняют владельцев или испытывают проблемы с выплатами, появляется много новых возможностей для атак на пользователей.
Во-вторых, учитывая, что современные вредоносные программы требуют все больше ресурсов для их разработки, распространения и использования, для множества злоумышленников на первый план выходят более простые, дешевые и грубые методы атак. Троянские программы могут стать для киберпреступников одним из наиболее привлекательных решений.
Для того чтобы справиться с киберпреступностью, необходимо создавать и внедрять защитные стратегии. На самом деле программное обеспечение для борьбы с вредоносными программами и стратегии по управлению рисками важны на всех уровнях.
По моему мнению помимо соответствующих стратегий защиты успешная борьба с киберпреступностью требует совместных усилий. Должен действовать интернет-Интерпол, должна вестись постоянная разъяснительная работа, подобная той, которая ведется по поводу необходимости использовать ремни безопасности в автомобиле. Должны существовать правила, соблюдение которых будет обязательно при нахождении в интернете. Эти же правила должны поддерживать действия правоохранительных органов. Как и в случае с ремнями безопасности, требуется длительная и упорная воспитательная работа для того, чтобы пользователи осознали необходимость таких мер.
РЕКОМЕНДАЦИИ
Результаты данного исследования могут стать полезными всем пользователям персональных компьютеров, заботящихся о сохранности своих документов и об информационной безопасности.
Также их можно применить на уроках информатики, для ознакомления учеников с вредоносными программами. Важно еще со школы осознавать наносимый вред киберпреступлениями.
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
1. Фридланд А.Я. Информатика и компьютерные технологии: Основные термины: Толков. Слов.: Более 1000 базовых понятий и терминов. – 3-е изд. испр. и доп./ А.Я. Фридланд, Л.С. Ханамирова, И.А. Фридланд. – М.: ООО «Издательство Астрель», 2003. – 272 с.
2. Шафрин Ю.А. 1500 основных понятий, терминов и практических советов для пользователей персональным компьютером. – М.: Дрофа, 2001. – 272 с.
3. Первин Ю.А. Информатика дома и в школе. Книга для ученика. – СПб.: БХВ – Петербург, 2003. – 352 с.
4. Интернет сайт www.metod-kopilka.ru
5. Интернет сайт ru.wikipedia.org/wiki/троянские_программы
6. Интернет сайт www.viruslist.com/ru/analysis?pubid=204007644
7. Интернет сайт www.viruslist.com/ru/analysis?pubid=204007643
Приложение 1
Типовая архитектура системы выявления атак.
Приложение 2
www.ronl.ru
Исследовательская работа
На тему: «Киберпреступность. Троянский конь»
Выполнил: ученик 9 А класса
Мухтаруллин А.А.
Научный руководитель:
учитель информатики,
Шульц Н.Г.
г. Муравленко, 2009 г.
СОДЕРЖАНИЕ
Введение
Глава 1. Условия существования киберпреступлений.
1.1. Киберпреступность как бизнес.
1.2. Принципы реализации атак.
Глава 2. «Троянского конь» в современных киберпреступлениях.
2.1. Сущность и классификация троянских программ.
2.2. Основные тенденции развития троянских программ.
Заключение
Список использованной литературы
ВВЕДЕНИЕ
В наши дни большинство людей значительную часть своего времени проводят в Интернете. Этот виртуальный мир во многом отражает мир реальный: преступность, являющаяся, к сожалению, неотъемлемой частью социума, существует и в виртуальном мире. Растущий обмен информационными данными в Интернете и электронные платежи – это именно тот лакомый кусок, который более всего привлекает злоумышленников. Структура современной киберпреступности практически сформирована: уже существуют четко определённые взаимоотношения и бизнес-модели.
Криминальная деятельность всегда была зеркальным отражением легального бизнеса: образ финансиста-мафиози — первое, что приходит в голову. Однако современная киберпреступность – это не одна-две мафиозных организации во главе с предводителем. Скорее, это мир, состоящий из взаимодополняющих и взаимодействующих друг с другом групп.
Современная киберпреступность развивается так же, как и любой другой бизнес. Прибыльность, управление рисками, освоение новых рынков тоже являются важными составляющими этого бизнеса
Цель исследования: изучение вредоносных программ, с целью предотвращения их воздействия.
Для достижения поставленной цели, были выбраны следующие задачи:
Рассмотреть условия существования киберпреступности.
Изучить сущность и классификацию троянских программ.
Выявить и проанализировать наиболее опасные троянские программы.
Гипотеза: знание сущности и оказываемого вреда вредоносными программами, поможет уменьшить их воздействие.
Предмет исследования: компьютерная преступность.
Объект исследования: троянские программы.
При написании работы применялись монографический и аналитический методы исследования.
Информационной базой для исследования являются нормативные документы в области компьютерной вирусологии, учебная литература, периодические издания, Интернет.
Глава 1. Условия существования киберпреступлений
1.1 Киберпреступность как бизнес
Важнейшей критерием оценки любого бизнеса является прибыльность, и киберпреступность здесь не исключение. Киберпреступность невероятно прибыльна! Огромные суммы денег оказываются в карманах преступников в результате отдельных крупных афер, не говоря уже о небольших суммах, которые идут просто потоком. Например, только в 2007 году практически каждый месяц совершалось одно серьезное преступление с использованием современной вычислительной и электронной техники.
Январь 2007. Российские хакеры с помощью своих шведских «коллег» украли 800 000 ЕВРО из шведского банка Nordea
Февраль 2007. Бразильская полиция арестовала 41 хакера за использование троянской программы для кражи банковской информации, которая позволила им заработать 4,74 миллиона долларов.
Февраль 2007. В Турции арестованы 17 членов банды интернет-мошенников, которым удалось украсть почти 500 000 долларов
Февраль 2007. Арестован Ли Чжун, создатель вируса “Панда” (Panda burning Incense), нацеленного на кражу паролей к онлайн-играм и учетным записям систем интернет-пейджинга. Предполагается, что на продаже своей вредоносной программы он заработал около 13 000 долларов.
Март 2007. Пять граждан восточно-европейских государств посажены в тюрьму в Великобритании за мошенничество с кредитными картами, их добыча составила порядка 1,7 миллионов фунтов стерлингов.
Июнь 2007. В Италии арестованы 150 киберпреступников, которые забрасывали итальянских пользователей мошенническими сообщениями. Их доход составил почти 1,25 миллионов евро.
Июль 2007. По неподтвержденным данным российские киберворы, используя троянскую программу, похитили 500 000 долларов у турецких банков
Август 2007. Украинец Максим Ястремский, известный также как Maksik, задержан в Турции за кибермошенничество с использованием электронных систем и незаконное присвоение десятков миллионов долларов.
Сентябрь 2007. Грегори Копилофф (Gregory Kopiloff) обвинен властями США в краже персональных данных с помощью файлообменных сетей Limewire и Soulseek. Полученную информацию он использовал для реализации мошеннических схем и выручил на этом тысячи долларов.
Октябрь 2007. В США арестован Грег Кинг (Greg King) за участие в организации февральской DDoS-атаки на сайт Castle Cops. Его приговорили к десяти годам тюремного заключения и штрафу 250 000 долларов.
Ноябрь 2007. ФБР арестовало восемь человек в ходе второй части операции Operation Bot Roast по борьбе с ботсетями. По результатам операции была названа сумма экономического ущерба, составившая более 20 млн. долларов, и выявлено более миллиона компьютеров-жертв.
Декабрь 2007. Киберпреступники взломали компьютеры департамента энергетики Национальной лаборатории Оак Риджа (ORNL), Теннесси, США. По имеющимся данным атаке подверглись также Национальная лаборатория в Лос Аламосе и Национальная лаборатория Лоуренса в Ливерморе, Калифорния. Были украдены более 12 000 номеров карт социального страхования и дат рождения посетителей ONRL за период с 1999 до 2004. Этот инцидент – из ряда проблем национальной безопасности, поскольку демонстрирует незащищенность отдельной личности в случае кражи идентификационных данных и финансового мошенничества.
Эти случаи – лишь вершина айсберга: сами потерпевшие и правоохранительные органы потрудились привлечь к ним внимание общественности. Но чаще всего организации, подвергшиеся атаке, сами проводят расследование, или этим занимаются правоохранительные органы – но без огласки. Результаты практически никогда не обнародуются. В диаграмме, взятой из отчета Института защиты информации в компьютерных системах, приведены причины, по которым организации предпочитают не сообщать о случаях компьютерного вторжения.
1.2 Принципы реализации атак
У каждого поколения преступников свои инструменты. Современные киберпреступники выбрали своим оружием троянские программы, с помощью которых они строят ботнеты для кражи паролей и конфиденциальной информации, проводят DoS атаки и шифруют данные, чтобы затем шантажировать своих жертв. Характерной и опасной чертой сегодняшних вредоносных программ является то, что они стремятся сохранить свое присутствие на инфицированной машине. Для достижения этой цели киберпреступники используют различные технологии.
В настоящее время некоторые преступники предпочитают проводить отдельные атаки, нацеленные на конкретные организации. Само по себе написание специальной программы для одной целевой атаки – задача трудоемкая, но важно еще обеспечить этой программе работоспособность на зараженном компьютере в течение долгого времени. Однако уж если эти целевые атаки удается запустить, успех им практически обеспечен: киберпреступники не только компенсируют себе все затраты на разработку и запуск атаки, но и получают солидную прибыль.
Современные киберпреступники для получения желаемого результата должны правильно организовать два важных момента: доставку и обеспечение работоспособности программы.
Первый шаг любого киберпреступления – доставка и установка вредоносной программы. Преступники используют несколько технологий для достижения этой цели. Основные современные способы распространения вредоносных программ (так называемые векторы заражения) – это спам-рассылки и зараженные веб-страницы. Идеальным для преступников является компьютер-жертва, который имеет уязвимость. Уязвимость позволяет преступникам установить вредоносную программу, как только она доставлена со спам-рассылкой, или с помощью так называемых технологий drive by download при посещении пользователем инфицированных интернет-сайтов.
Следующая задача киберпреступников после доставки вредоносной программы – как можно дольше сохранить ее необнаруженной. Вирусописатели используют несколько технологий для того, чтобы увеличить «срок службы» каждой части вредоносной программы.
Первостепенная стратегическая задача, стоящая перед любым вирусописателем, – сделать свою вредоносную программу невидимой не только для того, чтобы успешно ее доставить, но и для того, чтобы она «выжила». Чем менее видима программа для систем антивирусных радаров раннего оповещения, тем дольше ее можно будет использовать для получения доступа к зараженным компьютерам и сбора информации. Стандартные технологии сокрытия программы на компьютере включают применение руткитов, блокирование системы извещений об ошибках и окон предупреждений, выдаваемых антивирусом, сокрытие увеличения размеров файлов, использование множества разнообразных упаковщиков.
Во избежание обнаружения вредоносных программ вирусописатели широко используют технологию умышленного запутывания. Полиморфизм – одна из таких технологий, он был популярен в 90-х годах, но затем фактически исчез. Сегодня вирусописатели вернулись к полиморфизму, но они редко предпринимают попытки изменять код на компьютерах жертв. Вместо этого применяется так называемый «серверный полиморфизм» — изменение кода на веб-серверах с включением в него «пустых» инструкций, изменяющихся с течением времени, что существенно затрудняет обнаружение новых вредоносных программ, размещенных на веб-сервере.
Глава 2. «Троянского конь» в современных киберпреступлениях
2.1 Сущность и классификация троянских программ
Троянская программа (также — троя́н, троя́нец, троя́нский конь, тро́й) — программа, используемая злоумышленником для сбора информации, её разрушения или модификации, нарушения работоспособности компьютера или использования его ресурсов в неблаговидных целях. По принципу распространения и действия троян не является вирусом, так как не способен распространяться саморазмножением.
Троянская программа запускается пользователем вручную или автоматически — программой или частью операционной системы, выполняемой на компьютере-жертве (как модуль или служебная программа). Для этого файл программы (его название, иконку программы) называют служебным именем, маскируют под другую программу (например, установки другой программы), файл другого типа или просто дают привлекательное для запуска название, иконку и т. п.
Схожие вредоносные и маскировочные функции также используются компьютерными вирусами, но в отличие от них, троянские программы не умеют распространяться самостоятельно. Вместе с тем, троянская программа может быть модулем вируса.
Троянские программы различаются между собой по тем действиям, которые они производят на зараженном компьютере.
Backdoor — троянские утилиты удаленного администрирования
Утилиты скрытого управления позволяют делать с компьютером все, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т. д.
Trojan-PSW — воровство паролей
При запуске PSW-троянцы ищут сиcтемные файлы, хранящие различную конфиденциальную информацию (обычно номера телефонов и пароли доступа к интернету) и отсылают ее по указанному в коде «троянца» электронному адресу или адресам.
Trojan-Clicker — интернет-кликеры
Семейство троянских программ, основная функция которых — организация несанкционированных обращений к интернет-ресурсам.
Trojan-Downloader — доставка прочих вредоносных программ
Троянские программы этого класса предназначены для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки «троянцев» или рекламных систем.
Trojan-Dropper — инсталляторы прочих вредоносных программ
В результате использования программ данного класса хакеры достигают двух целей: скрытная инсталляция троянских программ и/или вирусов; защита от антивирусных программ, поскольку не все из них в состоянии проверить все компоненты внутри файлов этого типа.
Trojan-Proxy — троянские прокси-сервера
Семейство троянских программ, скрытно осуществляющих анонимный доступ к различным интернет-ресурсам. Обычно используются для рассылки спама.
Trojan-Spy — шпионские программы
Данные троянцы осуществляют электронный шпионаж за пользователем зараженного компьютера: вводимая с клавиатуры информация, снимки экрана, список активных приложений и действия пользователя с ними сохраняются в какой-либо файл на диске и периодически отправляются злоумышленнику.
Trojan-Notifier — оповещение об успешной атаке
Троянцы данного типа предназначены для сообщения своему «хозяину» о зараженном компьютере.
2.2 Основные тенденции развития троянских программ
В программах, относящихся к классу троянских, на сегодняшний день можно выделить следующие основные тенденции:
Значительный рост числа программ-шпионов, крадущих конфиденциальную банковскую информацию. Новые варианты подобных программ появляются десятками за неделю и отличаются большим разнообразием и принципами работы. Некоторые из них ограничиваются простым сбором всех вводимых с клавиатуры данных и отправкой их по электронной почте злоумышленнику. Наиболее мощные могут предоставлять автору полный контроль над зараженной машиной, отсылать мегабайты собранных данных на удаленные сервера, получать оттуда команды для дальнейшей работы.
Стремление к получению тотального контроля над зараженными компьютерами. Это выражается в объединении их в зомби-сети, управляемые из единого центра.
Использование зараженных машин для рассылки через них спама или организации атак.
Отдельного рассмотрения требуют такие классы программ, как Trojan-Dropper и Trojan-Downloader. Конечные цели у них абсолютно идентичны — установка на компьютер другой вредоносной программы, которая может быть как червем, так и «троянцем». Отличается только принцип их действия. «Дропперы» могут содержать в себе уже известную вредоносную программу или наоборот — устанавливать новую ее версию. Также «дропперы» могут устанавливать не одну, а сразу несколько вредоносных программ, принципиально отличающихся по поведению и даже написанных разными людьми.
Оба эти класса вредоносных программ используются для установки на компьютеры не только троянских программ, но и различных рекламных (advware) или порнографических (pornware) программ.
По итогам работы антивирусных служб в 2008 году зафиксировано 23 680 646 атак на российских пользователей, которые были успешно отражены.
Таблица 1.
Рейтинг троянских программ в 2008 году
№ п/п | Название | Количество | Процент |
1 | Heur.Trojan.Generic | 248857 | 7,08% |
2 | Trojan-Downloader.Win32.Small.aacq | 228539 | 6,50% |
3 | Trojan-Clicker.HTML.IFrame.wq | 177247 | 5,04% |
4 | Trojan-Downloader.SWF.Small.ev | 135035 | 3,84% |
5 | Trojan-Clicker.HTML.IFrame.yo | 121693 | 3,46% |
6 | Trojan-Downloader.HTML.IFrame.wf | 107093 | 3,05% |
7 | Trojan-Downloader.Win32.Small.abst | 78014 | 2,22% |
8 | Trojan-Downloader.JS.Agent.dau | 73777 | 2,10% |
9 | Trojan-Downloader.JS.IstBar.cx | 68078 | 1,94% |
10 | Trojan-GameThief.Win32.Magania.gen | 66136 | 1,88% |
11 | Trojan-Downloader.JS.Iframe.yv | 62334 | 1,77% |
12 | Trojan.HTML.Agent.ai | 60461 | 1,72% |
13 | Trojan-Downloader.JS.Agent.czf | 41995 | 1,20% |
Наиболее распространенной и активной вредоносной программой 2008 года является Trojan-Downloader.Win32.Small.aacq.
По итогам работы антивирусных служб в январе 2009 года мы сформировали главную вирусную двадцатку.
В этой таблице зафиксированы те вредоносные, рекламные и потенциально опасные программы, которые были детектированы на компьютерах пользователей.
Таблица 2.
Рейтинг вредоносных программ в январе 2009 года.
Позиция | Изменение позиции | Вредоносная программа |
1 | Virus.Win32.Sality.aa | |
2 | Packed.Win32.Krap.b | |
3 | 1 | Worm.Win32.AutoRun.dui |
4 | -1 | Trojan-Downloader.Win32.VB.eql |
5 | 3 | Trojan.Win32.Autoit.ci |
6 | Trojan-Downloader.WMA.GetCodec.c | |
7 | 2 | Packed.Win32.Black.a |
8 | -1 | Virus.Win32.Alman.b |
9 | 5 | Trojan.Win32.Obfuscated.gen |
10 | 10 | Trojan-Downloader.WMA.GetCodec.r |
11 | новинка | Exploit.JS.Agent.aak |
12 | -1 | Worm.Win32.Mabezat.b |
13 | -3 | Worm.Win32.AutoIt.ar |
14 | 1 | Email-Worm.Win32.Brontok.q |
15 | новинка | Virus.Win32.Sality.z |
16 | новинка | Net-Worm.Win32.Kido.ih |
17 | появление вновь | Trojan-Downloader.WMA.Wimad.n |
18 | -2 | Virus.Win32.VB.bu |
19 | -2 | Trojan.Win32.Agent.abt |
20 | новинка | Worm.Win32.AutoRun.vnq |
Появившиеся в декабрьском рейтинге Trojan.HTML.Agent.ai и Trojan-Downloader.JS.Agent.czm в этом месяце нашли себе замену в виде Exploit.JS.Agent.aak. Исчезнувшего из рейтинга червя AutoRun.eee заменяет теперь Worm.Win32.AutoRun.vnq. Это вполне закономерно, так как частые смены модификаций характерны для этих классов зловредных программ.
Выбывший из рейтинга в ноябре Trojan-Downloader.WMA.Wimad.n вернулся в игру. Таким образом, в рейтинге мы имеем сразу три нестандартных загрузчика, что свидетельствует о массовом распространении такого типа троянских программ и доверии пользователей файлам мультимедиа. Более того, схема распространения зловредных программ с использованием мультимедийных загрузчиков оказалась весьма эффективной. Это подтверждается скачком Trojan-Downloader.WMA.GetCodec.r сразу на 10 пунктов вверх.
ЗАКЛЮЧЕНИЕ
Скорее всего, мировой финансовый кризис никак не затронет игровую индустрию, и в 2009 году развитие игровых миров продолжится.
Атаки злоумышленников становятся все масштабнее и изощреннее. А действия игроков способствуют росту черного рынка виртуальных ценностей, на чем зарабатывают деньги хакеры и вирусописатели.
«Троянский конь» является наиболее опасной из всех вредоносных программ, поскольку:
Во-первых, кризис заставляет интернет-пользователей более нервно реагировать на любые события, связанные с платежными системами, онлайн-банкингом, электронными деньгами. В период, когда банки разоряются, меняют владельцев или испытывают проблемы с выплатами, появляется много новых возможностей для атак на пользователей.
Во-вторых, учитывая, что современные вредоносные программы требуют все больше ресурсов для их разработки, распространения и использования, для множества злоумышленников на первый план выходят более простые, дешевые и грубые методы атак. Троянские программы могут стать для киберпреступников одним из наиболее привлекательных решений.
Для того чтобы справиться с киберпреступностью, необходимо создавать и внедрять защитные стратегии. На самом деле программное обеспечение для борьбы с вредоносными программами и стратегии по управлению рисками важны на всех уровнях.
По моему мнению помимо соответствующих стратегий защиты успешная борьба с киберпреступностью требует совместных усилий. Должен действовать интернет-Интерпол, должна вестись постоянная разъяснительная работа, подобная той, которая ведется по поводу необходимости использовать ремни безопасности в автомобиле. Должны существовать правила, соблюдение которых будет обязательно при нахождении в интернете. Эти же правила должны поддерживать действия правоохранительных органов. Как и в случае с ремнями безопасности, требуется длительная и упорная воспитательная работа для того, чтобы пользователи осознали необходимость таких мер.
РЕКОМЕНДАЦИИ
Результаты данного исследования могут стать полезными всем пользователям персональных компьютеров, заботящихся о сохранности своих документов и об информационной безопасности.
Также их можно применить на уроках информатики, для ознакомления учеников с вредоносными программами. Важно еще со школы осознавать наносимый вред киберпреступлениями.
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
1. Фридланд А.Я. Информатика и компьютерные технологии: Основные термины: Толков. Слов.: Более 1000 базовых понятий и терминов. – 3-е изд. испр. и доп./ А.Я. Фридланд, Л.С. Ханамирова, И.А. Фридланд. – М.: ООО «Издательство Астрель», 2003. – 272 с.
2. Шафрин Ю.А. 1500 основных понятий, терминов и практических советов для пользователей персональным компьютером. – М.: Дрофа, 2001. – 272 с.
3. Первин Ю.А. Информатика дома и в школе. Книга для ученика. – СПб.: БХВ – Петербург, 2003. – 352 с.
4. Интернет сайт www.metod-kopilka.ru
5. Интернет сайт ru.wikipedia.org/wiki/троянские_программы
6. Интернет сайт www.viruslist.com/ru/analysis?pubid=204007644
7. Интернет сайт www.viruslist.com/ru/analysis?pubid=204007643
Приложение 1
Типовая архитектура системы выявления атак.
Приложение 2
www.ronl.ru
Тема: Понятие и виды киберпреступности. Личность киберпреступника
В многочисленных научных исследованиях предпринимаются попытки определить термин «киберпреступность». При этом составители национального законодательства стран, похоже, не ставят перед собой задачу дать четкое определение этого понятия. Из практически 200 актов национального законодательства, указанных странами в ответах на вопросник данного исследования, менее чем в пяти процентах случаев термин «киберпреступность» присутствовал в названии или содержании правовых норм. Вместо этого в законодательстве чаше употребляется термин «компьютерные преступления», «электронные средства связи», «информационные технологии» или «преступления в сфере высоких технологий». На практике многие из этих законодательных актов определяют преступления, которые включены в понятие киберпреступности, например несанкционированный доступ к компьютерным системам или воздействие на компьютерные системы или данные. В тех случаях, когда в национальном законодательстве слово «киберпреступность» все же присутствовало в названии законодательных актов или разделов (например, Закон о киберпреступности), в разделе, в котором давались определения, редко присутствовало определение термина «киберпреступность». Если же правовое определение термина «киберпреступность» и закреплено в законодательстве, как правило, оно просто представляет собой отсылку «преступления, определенные в настоящем Законе».
Что касается международных или региональных правовых документов, то лишь немногие из них предлагают определение киберпреступности. Например, ни в Конвенции Совета Европы о компьютерных преступлениях, ни в Конвенции Лиги арабских государств, ни в проекте Конвенции Африканского союза нет определения термина «киберпреступность» для целей этих документов. В Соглашении Содружества Независимых Государств не используется термин «киберпреступность», а дается определение «преступления в сфере компьютерной информации», которое представляет собой «уголовно наказуемое деяние, предметом посягательства которого является компьютерная информация». Аналогичным образом в Соглашении между правительствами государств — членов Шанхайской организации сотрудничества понятие «информационная преступность определяется как «использование информационных ресурсов и (или) воздействие на них в информационном пространстве в противоправных целях».
Подходы к определению понятия, применяемые в национальных, международных и региональных правовых документах, послужили основой для принятого в целях настоящего исследования подхода. В настоящем исследовании не ставится задача определения термина «киберпреступность» как такового, а устанавливается перечень или набор деяний, которые могут составлять киберпреступность. Это позволяет сосредоточить внимание на тщательном описании точных действий, которые подлежат криминализации. Слово «киберпреступность» как таковое, возможно, лучше не рассматривать как правовой термин.
Полезно также проанализировать и определение связанных с киберпреступностью понятий, таких как «компьютер», «компьютерная система», «данные» и «информация». Их значение крайне важно для понимания объектов и (или) охраняемых законных интересов, которых касаются законы в области киберпреступности. Анализ международных и региональных правовых документов позволил выявить два основных подхода: а) использование терминологии на базе понятий «компьютерные данные или системы»; и б) использование терминологии на базе понятий «информационные данные или системы».
В Конвенции Совета Европы о компьютерных преступлениях и Типовом законе Содружества используются термины «компьютерная система» и «компьютерные данные». В проекте Конвенции Африканского союза используются термины «компьютерная система» и «компьютерные данные». Решение ЕС об атаках на информационные системы содержит термины «информационная система» и «компьютерные данные». В Конвенции Лиги арабских государств используются термины «информационная система» и «данные», а в Соглашении Содружества Независимых Государств — термин «компьютерная информация».
При этом анализ элементов определений показывает, что эти термины могут, в целом, считаться взаимозаменяемыми.
Например, основным элементом правового определения «компьютера», «компьютерной системы» или «информационной системы» является то, что такое устройство должно «быть в состоянии обрабатывать компьютерные данные или информацию». В некоторых случаях указывается, что обработка должна осуществляться «автоматически», или «с высокой скоростью», или «в соответствии с программой». В некоторых случаях дается более широкое определение, которое охватывает устройства, хранящие или передающие и принимающие компьютерные данные или информацию. Иногда в определение включаются и компьютерные данные, обрабатываемые системой. Если термин «компьютерная система» или «информационная система» не включает данные, хранящиеся в системе или на других носителях, это понятие нередко рассматривается отдельно в материальных положениях документа.
Международные и региональные правовые документы в основном содержат нейтральные с точки зрения технологий формулировки. Они не определяют перечень устройств, которые могут считаться компьютерной или информационной системой. В большинстве случаев такой подход считается оптимальной практикой, коль скоро он позволяет снизить риск того, что новые технологии не попадут под действие правовых норм, в связи с чем потребуется постоянная доработка законодательства. Опираясь на основополагающее понятие обработки компьютерных данных или информации, можно утверждать, что правовые нормы, как правило, применимы к таким устройствам, как центральные процессоры и серверы, настольные персональные компьютеры, портативные компьютеры, смартфоны, планшеты и бортовые компьютеры, установленные на транспортных средствах и машинном оборудовании, а также к мультимедийным устройствам, таким как принтеры, МРЗ-плееры, цифровые фотоаппараты и игровые автоматы. Исходя из понятия «обработка компьютерных данных или информации», вполне можно утверждать, что это определение охватывает любые устройства, такие как беспроводной или проводной маршрутизатор, который подключен к Интернету. Строго говоря, носители данных, такие как жесткие диски, карты памяти USB или флэш-карты, могут являться, а могут и не являться частью «компьютерной системы» или «информационной системы». Но если они не являются ее частью, соответствующие правовые нормы все же могут определять их в качестве соответствующих объектов.
По мере перехода к «Интернету вещей» и развития нанокомпью-терных технологий в мире может потребоваться более полное описание таких понятий, как «компьютерная система» или «информационная система», которое охватывало бы более широкий круг устройств. При этом в принципе основное понятие «автоматическая обработка информации» может оказаться достаточно гибким, чтобы охватить, например, встроенные в бытовые приборы интеллектуальные микросхемы мониторинга и контроля с применением технологий NFC и IР-подключения.
«Компьютерные данные» или «компьютерная информация» обычно определяются как «отображение фактов, информации или понятий в форме, пригодной для распознания, обработки или хранения с помощью компьютера». В некоторых случаях уточняется, что сюда относятся и компьютерные программы. В остальных случаях этот аспект не уточняется. Вполне возможно, что разница между формулировкой «в распознаваемой компьютером форме» и «в форме, пригодной для распознания, обработки или хранения с помощью компьютерной системы (или информационной системы)» носит чисто семантический характер. На практике к компьютерным данным или информации могут относиться и данные или информация, хранящиеся на физических носителях данных (таких как жесткие диски, карты памяти USB или флэш-карты), данные или информация, хранящиеся в памяти компьютерной системы или информационной системы, передаваемые данные или информация (через беспроводную, оптическую или радиосвязь) и физическое изображение данных или информации, например в печатной форме или на экране устройства.
Несмотря на существование разных подходов к терминологии, в данном исследовании используются термины «компьютерная система» и «компьютерные данные», которые трактуются как эквиваленты терминов «информационная система» и «компьютерная информация».
В то время как единое определение термина «киберпреступность» сформулировать невозможно, возникает вопрос, можно ли вместо перечня отдельных киберпреступлений (или в дополнение к нему) в общих чертах определить цели, характеристики или способы совершения таких преступлений. Как отмечалось выше, один пример такого подхода можно обнаружить в Соглашении Содружества Независимых Государств, где «преступление в сфере компьютерной информации» описывается как «уголовно наказуемое деяние, предметом посягательства которого является компьютерная информация». В Соглашении Шанхайской организации сотрудничества «информационная преступность» определяется (в более широком плане) как «использование информационных ресурсов и (или) воздействие на них в информационном пространстве в противоправных целях». В Конвенции Совета Европы о компьютерных преступлениях применяется классификация деяний по следующим общим группам (хотя их названия не определены как термины): «преступления против конфиденциальности, целостности и доступности компьютерных данных или систем», «правонарушения, связанные с использованием компьютерных средств», и «правонарушения, связанные с содержанием компьютерных данных». В проекте Конвенции Африканского союза также использованы названия посвященных криминализации глав, которые проводят различие между «правонарушениями, характерными исключительно для информационно-коммуникационных технологий», и «адаптацией отдельных правонарушений под информационно-компьютерные технологии».
Данные подходы показывают, что для описания киберпреступле-ний можно использовать ряд общих характеристик. Например, можно сосредоточить внимание на объекте преступления, т. е. на лице, предмете или ценности, против которых совершается преступление. Такой подход прослеживается в Соглашении Содружества Независимых Государств (где объектом преступления выступает компьютерная информация), а также в подразделе 1 главы Конвенции Совета Европы о компьютерных преступлениях, посвященной материальному уголовному праву (где объектами преступления выступают компьютерные данные или компьютерные системы). Второй подход состоит в определении того, являются ли компьютерные системы или информационные системы неотъемлемой частью способа совершения преступления. Данный подход также прослеживается в подразделах 2, 3 и 4 главы Конвенции Совета Европы о компьютерных преступлениях, посвященной материальному уголовному праву, а также в Соглашении Шанхайской организации сотрудничества.
Деяния, направленные против конфиденциальности, целостности и доступности компьютерных данных или систем
В качестве объекта преступлений, составляющих основу киберпреступности, выступают компьютерная система или компьютерные данные. К базовым киберпреступлениям относятся незаконный доступ, перехват, получение или вмешательство в компьютерную систему или данные. Эти преступления могут совершаться самыми разными способами. Незаконный доступ к компьютерной системе, например, может включать в себя незаконное использование раскрытого пароля или удаленного доступа с использованием программного обеспечения для компьютерного вторжения. В последнем случае может также идти речь о вмешательстве в компьютерные данные и (или) компьютерную систему. Таким образом, отдельные деяния могут включать в себя частично пересекающиеся разные виды преступлений. К первой категории также относятся преступления, связанные со средствами, которые могут использоваться для осуществления деяния против компьютерных систем или данных. И наконец, к этой категории относятся преступления, связанные с ненадлежащим обращением с компьютерными данными при нарушении установленных требований.
Деяния, направленные против конфиденциальности, целостности и доступности компьютерных данных и систем
Деяния, предполагающие использование компьютера в целях извлечения личной или финансовой прибыли или причинения личного или финансового вреда
Ко второй категории отнесены деяния, в случае которых использование компьютерной системы является частью способа совершения преступления. Объекты таких преступлений могут быть самыми разными. В случае компьютерного мошенничества объектом может считаться имущество, ставшее предметом посягательства. В случае компьютерных преступлений, касающихся авторских прав или товарных знаков, объектом преступления могут считаться охраняемые права интеллектуальной собственности. В случае деяний, предполагающих использование компьютера в целях причинения личного вреда, таких как использование компьютерной системы в целях домогательства, преследования, запугивания или угроз человеку или груминга ребенка, объектом преступления можно считать лицо, ставшее предметом посягательства.
Сложность классификации деяний, предполагающих использование компьютера, состоит в том, что возникает риск расширения этой категории за счет большого числа преступлений, которые относились бы не к киберпреступлениям, если бы были совершены без использования или помощи компьютерной системы. Вопрос о том, следует ли относить такие преступные деяния к киберпреступлениям, в некоторой степени остается открытым. В некоторых международных и региональных документах перечень деяний, предполагающих использование компьютера, ограничивается относительно небольшим числом таких преступлений, однако в некоторых документах круг таких деяний может расширяться. Например, Конвенция Совета Европы о компьютерных преступлениях из всей этой категории включает только подлог с использованием компьютерных технологий и мошенничество с использованием компьютерных технологий. В то же время в Типовом законе Лиги арабских государств содержатся положения уголовного права, касающиеся использования компьютерной системы для целей подлога, угрозы, шантажа, присвоения движимого имущества или прав на недвижимое имущество за счет мошеннического использования имени, незаконного получения номеров или реквизитов кредитной карты, незаконного пользования услугами связи, создания (Интернет) сайта в целях торговли людьми, наркотическими препаратами или психотропными веществами и перевода денежных средств, полученных незаконным путем, или сокрытия их незаконного происхождения.
Еще один вид деяний, который может входить в эту категорию (и в отличие от рассмотренных выше деяний является исключительно киберпреступлением), — это распространение или контроль распространения спама. Хотя распространение спама запрещено всеми поставщиками услуг доступа в Интернет, не все страны признают это уголовно наказуемым правонарушением.
Деяния, связанные с содержанием компьютерных данных
К данной категории киберпреступлений относятся деяния, связанные с содержанием компьютерных данных (текстов, изображений, звукозаписей и отображений, передаваемых или хранимых в компьютерных системах, включая Интернет). Объектом преступления в случае деяний, связанных с содержанием компьютерных данных, нередко является лицо, идентифицируемая группа лиц или общепризнанная ценность или убеждение. Как и в случае второй категории, такие деяния в принципе могут совершаться и с использованием, и без использования компьютерных систем. Тем не менее во многих международных и региональных документах по вопросам киберпреступности содержатся специальные положения, касающиеся содержания компьютерных данных. Одним из аргументов в пользу включения деяний, связанных с содержанием компьютерных данных, в термин «киберпреступность» является тот факт, что компьютерные системы, включая Интернет, фундаментальным образом изменили масштабы распространения информации и охват аудитории.
Страны могут рассматривать в качестве преступления владение или распространение определенной информации с помощью компьютерных систем. В этом контексте важно отметить, что помимо принципа государственного суверенитета отправным моментом, который закреплен в международных документах по правам человека, является право на свободу убеждений и свободное их выражение. Опираясь на этот отправной момент, международное право допускает определенные необходимые ограничения в соответствии с положениями законодательства. В соответствии с международным правом государства также обязаны запрещать определенные исключительные виды выражения убеждений, включая детскую порнографию, прямое и публичное подстрекательство к геноциду, пропаганду ненависти и подстрекательство к терроризму.
Деяния, предполагающие использование компьютера в целях содействия террористическим преступлениям, включены в категорию «Деяния, связанные с содержанием компьютерных данных». В публикации Управления ООН по наркотикам и преступности (УНП ООН) «Использование Интернета в террористических целях» отмечается, что компьютерные системы могут использоваться для совершения ряда деяний в целях содействия и поддержки терроризма. К ним относятся пропаганда (в том числе вербовка, радикализация и подстрекательство к терроризму), финансирование, обучение, планирование (в том числе с использованием секретной связи и открытых источников информации) исполнения, а также компьютерные атаки.
В отношении других деяний, таких как вымогательство с использованием компьютера, возникает вопрос о том, следует или не следует включать не относящиеся к киберпреступлениям деяния, которые в разной степени переместились в глобальную сеть (этот вопрос кратко освещался в контексте деяний, предполагающих использование компьютера в целях извлечения личной или финансовой прибыли или причинения личного или финансового вреда). Ряд стран-респондентов отметили, что общий принцип можно сформулировать следующим образом: что незаконно вне глобальной Сети, незаконно и в Сети. Во многих случаях положения уголовного права, регулирующие действия вне Сети, могут также применяться в отношении тех же действий, совершаемых в глобальной Сети.
Один из подходов может, например, предполагать отнесение к киберпреступлениям только тех деяний, когда использование компьютерной системы является совершенно необходимым элементом для того, чтобы коренным образом изменить охват или характер деяния, которое в противном случае относилось бы к преступлениям, совершаемым офлайн. Крайне сложно провести здесь четкую границу. Например, можно ли обоснованно утверждать, что использование компьютерных систем коренным образом меняет характер и масштабы обмана потребителей, но не незаконного оборота наркотических веществ? Есть ли коренные различия между финансовыми услугами, предоставляемыми в глобальной Сети для сокрытия источника происхождения доходов, полученных незаконным путем, и традиционными финансовыми операциями, что потребовало бы определения отмывания денег с использованием компьютерных систем как отдельного преступления? В определенной степени при составлении перечня деяний для целей данного исследования была предпринята попытка выделить сущность действующей практики в отношении тех деяний, которые принято называть киберпреступлениями.
Другие деяния, упомянутые странами-респондентами, в частности азартные игры в режиме онлайн, признаются в качестве уголовно наказуемых не всеми странами. Азартные игры в Интернете разрешены во многих странах, но прямо или косвенно запрещены в других странах. Вне зависимости от правового статуса веб-сайтов, используемых для азартных игр, они нередко могут становиться субъектами или объектами компьютерного мошенничества, перехвата компьютерных данных или вмешательства в них. В рамках общего термина «азартные игры в режиме онлайн» иногда проводится различие между использованием Интернета просто как средства связи (по аналогии со ставками на исход событий в реальном мире посредством удаленного доступа) и виртуальными казино, где игрок не может проверить результаты игры. Именно последний случай нередко рассматривается как деяние, отличающееся от азартных игр в реальном мире, поскольку оно связано с возможностью игровой зависимости, мошенничества и неправомерного использования несовершеннолетними. В соответствии с принципом национального суверенитета по крайней мере один региональный документ признает право стран устанавливать цели своей политики в отношении ставок и азартных игр с учетом их собственной шкалы ценностей и определять соразмерные ограничительные меры.
Киберпреступники
Полное описание параметров киберпреступника может включать в себя множество элементов. К основным параметрам относятся возраст, пол, социоэкономический статус, национальность и мотивация. Наряду с этим определяющей характеристикой элемента сообщества людей, лежащего в основе преступного поведения, является уровень преступной организации или степень согласованности действий отдельных лиц. Интерпретация киберпреступности как «социально-технологического» явления, продиктованная оценкой закономерных личностных особенностей лиц, которые совершают подобного рода преступления, представляет собой более полный подход к предупреждению преступности, в отличие от упора исключительно на технические аспекты кибербезопасности.
В то время как индивидуальные характеристики сравнительно несложно определить, хорошо известно, что при анализе организованной преступности возникают проблемы как с определением, так и измерением параметров. В данном исследовании в отношении понятия организованной преступной группы используется более широкое определение, введенное Конвенцией Организации Объединенных Наций против транснациональной организованной преступности. В рамках этого определения существуют различные подходы к типологии, а также подходы к причислению конкретного уголовного преступления к организованной преступности. Есть основания считать, что построение таких типологий можно в некоторой степени использовать при определении причастности к организованным преступным группам в сфере киберпреступности — хотя и с учетом новых трудностей и применительно к каждому отдельному случаю.
Информация в отношении индивидуальных личностных профилей преступников чаще всего извлекается из ретроспективных когортных исследований материалов дел о совершении киберпреступлений, по которым осуществлялось уголовное преследование. Секретные операции правоохранительных органов по нелегальным форумам в Интернете, а также изучение преступников научными исследователями в ходе дискуссий на форумах и в дискуссионных группах также являются ценным источником информации. Иные методики включают использование анонимных анкет самоотчета, отслеживание событий на конференциях по компьютерной безопасности «IT Underground» и установку в Интернете «ловушек для хакеров». Сопоставление результатов исследований осложняется по причине использования разных методик, а также различий между отобранными для анализа киберпреступлениями, выборками, в географическом охвате, подходах к анализу и отображению характерных признаков преступника — таких как использование различных возрастных интервалов.
Приведенный ниже анализ основывается на трех основных исследованиях, охватывающих ряд киберпреступлений, а также на исследовании результатов анкет самоотчета хакеров. Категория «Li» включает 151 преступника, проходящего по «типовым» делам уголовного преследования за совершение киберпреступлений в одной из стран Северной Америки в период между 1998 и 2006 гг. Категорию «Lu» составляют свыше 18 000 лиц, подозреваемых в совершении киберпреступлений, зарегистрированных в базе данных полиции на территории Восточной Азии в период между 1999 и 2004 гг. Исследование «BAE Detica» рассматривает две выборки из 250 определенных зарегистрированных деяний «цифровых» организованных преступных групп на основе международного обзора литературных источников. В отличие от них исследование хакерства «НРР» основывается на сведениях, полученных из примерно 1400 анкет самоотчета, заполненных «хакерами», которые могли быть или не были причастны к совершению какого-либо преступления.
Все исследования показывают, что распространенный для киберпреступников возраст варьируется в пределах 18—30 лет. В рамках категории «Li», например, возраст 37% преступников определяется в пределах 17—25 лет. В категории «Lu» возраст 53% преступников составляет от 18 до 29 лет.
Оценки более современного исследования «BAE Detica» несколько отличаются тем, что указывают на возможно более высокие показатели продолжения преступной деятельности среди лиц в возрасте 30—40 лет, при всём этом отмечается, что возраст 32% преступников составлял от 36 до 50 лет. В отличие от исследований, рассматривающих ряд киберпреступлений, исследование хакеров «НРР» показывает более резкое снижение по группам преступников старшего возраста, где только 21% всех преступников старше 30 лет. Это может соответствовать определению субпрофилей хакеров, начинающих свою деятельность в юном возрасте, таких как «скриптомалыши». В частности, как выяснилось в ходе исследования «НРР», возраст 61% начинающих хакеров составляет от 10 до 15 лет. В целом в большинстве случаев киберпреступники могут, в свою очередь, быть моложе обычных преступников. На территории страны Восточной Азии, рассмотренной в рамках исследования категории «Lu», пиковый возраст для всей группы уголовных преступников составил от 30 до 39 лет, в отличие от 18—23 лет для киберпреступников.
Пол. Большинство киберпреступников представлено лицами мужского пола — исследования по категориям «НРР», «Li» и «Lu» определили мужской состав преступников на уровне 94, 98 и 81% соответственно. Результаты выше 90% свидетельствуют о более высоком соотношении причастности лиц мужского пола к киберпреступлениям, чем для преступлений в целом. В мировом масштабе доля мужчин, привлекаемых к уголовной ответственности за какой-либо вид преступления, как правило, составляет от 85 до 90% при медианном значении около 89%.
Четкое представление о полном возрастном составе содержится в небольшом количестве исследований, которые были проведены в развивающихся странах. Тем не менее субпрофили киберпреступников, таких как субкультура «yahooboys», как минимум подтверждают особенный характер причастности молодых мужчин к кибер-преступной деятельности. Согласно данным одного из таких исследований возраст 50% таких преступников в одной из стран Западной Африки составлял от 22 до 25 лет, более половины из которых заявляли о вовлеченности в киберпреступления в течение периода от пяти до семи лет.
Технические навыки. Что касается технических навыков и знаний киберпреступников, в большинстве прецедентов, проанализированных в рамках исследования по категории «Li», не отмечалось сложных навыков или методик, которые были бы не доступны обычным компьютерным пользователям. В целом 65% всех деяний были относительно простыми в плане исполнения, в 13% случаев требовался средний уровень навыков, а в 22% случаев применялись сложные технические навыки. Наиболее трудноисполнимыми были атаки с использованием вирусов, «червей» и шпионских программ, из которых 73% классифицировались как сложные. Как обычно подчеркивается организациями по кибербезопасности, вполне допустимо, что возможность приобретения компьютерного инструментария, способного использовать уязвимость компьютерных систем и захватывать большое число компьютеров, означает отсутствие для киберпреступников дальнейшей необходимости в высоком уровне технических навыков.
Следовательно, уровни квалификации могут сильно отличаться и, как будет сказано ниже, это само по себе может играть определенную роль в структуре киберпреступной группы. В целом, однако, уровень образования среди киберпреступников все же может быть выше, чем среди обычных уголовных преступников или всех видов преступных элементов. Согласно исследованиям категории «Lu» 28% лиц, подозреваемых в совершении киберпреступлений на территории конкретной страны, обучались по программам высшего образования в отличие от 8% по всей совокупности преступных элементов. Аналогичным образом исследование «НРР» позволило установить, что более половины хакеров получали высшее образование. Тем не менее, согласно исследованию «BAE Detica», вполне вероятно, что «искусственное» приобретение технических навыков (в частности, посредством работы с вредоносным компьютерным инструментарием, включая «ZeuS» или «Butterfly Bot») привело к уходу от традиционного портрета высококвалифицированного цифрового преступника к более широкому коллективу индивидов.
Преступники в сфере детской порнографии
Личностный профиль человека, вовлеченного в изготовление, распространение и хранение детской порнографии с использованием компьютерной техники, может отличаться от личностного профиля киберпреступников в целом. Последние данные по этой группе преступников были представлены Виртуальной глобальной рабочей группой (ВГРГ) в виде ограниченной неслучайной выборки по 103 лицам, арестованным за скачивание и обмен детской порнографией через систему файлообмена.
Возраст и социальный статус. Все подозреваемые из контингента ВГРГ были представлены лицами мужского пола от 15 до 73 лет, средний возраст которых составлял 41 год. Каждый пятый подозреваемый не работал, а находился на пенсии, был безработным или получал социальное пособие по состоянию здоровья. Остальные занимались трудовой деятельностью или учились. 42% проживали совместно с партнером и (или) детьми. Эти преступники были значительно старше (в среднем 50 лет) одиноких правонарушителей (в среднем 35 лет). Все подозреваемые были озабочены сокрытием своих занятий от окружающих, но только 60% удалось полностью обособить их от своей повседневной жизни. Что касается оставшейся части, их противоправное поведение, как правило, обретало навязчивый характер и было в той или иной мере переплетено с их повседневной жизнью и, возможно, не очень хорошо скрыто от окружающих. К этой второй группе, как правило, относились лица низкого социально-экономического статуса и высокого уровня компьютерной грамотности, около 4% преступников имели проблемы с психическим здоровьем.
Схема противоправного поведения. Подозреваемые были вовлечены в преступления в сфере детской порнографии, как правило, в течение сравнительно длительного периода времени — в среднем пять лет при диапазоне от 6 месяцев до 30 лет. Более 60% подозреваемых не только собирали детскую порнографию, но и торговали ею (распространяли ее) через файлообменные сервисы, а 35% использовали в этих целях иную сеть (иные сети), помимо файлообменных. Из них половина была связана между собой вне Интернета, что свидетельствует о том, что лица, выходящие за рамки просмотра детской порнографии, торгуя ею, занимаются этим не только через Интернет, но и офлайн.
Взаимосвязь с преступной деятельностью офлайн. В том, что касается преступников, работающих онлайн и офлайн, сетевые преступники чаще всего являются европеоидами, безработными и по возрасту незначительно моложе внесетевых преступников. Тем не менее взаимосвязь может иметь место. Согласно результатам одного из недавних метаисследований по выборке из свыше 3500 сетевых преступников в сфере детской порнографии, каждый шестой был также причастен к сексуальному насилию над детьми офлайн. По данным исследования ВГРГ, 6% ранее подвергались преследованию за сексуальную эксплуатацию детей через сеть Интернет, 18% привлекались к ответственности за развратные действия в отношении детей младше 16 лет, а 15% привлекались к ответственности за преступления несексуального характера. Существовало небольшое частичное совпадение между преступлениями сексуального и несексуального характера, что свидетельствовало в пользу склонности подозреваемых к специализации на преступлениях сексуального характера в отношении детей. Подозреваемые с высокой степенью вовлеченности в сферу детской порнографии в сети Интернет также входили в число лиц, которые были причастны либо являлись причастными на тот момент к сексуальному насилию над детьми.
Другое исследование, «Butner Study», акцентировало внимание на преступниках в сфере детской порнографии и проводилось посредством сравнения групп преступников, участвующих в программах добровольного лечения, на основе наличия дополнительной истории сексуальных преступлений в форме «непосредственного контакта» в отношении, по крайней мере, одного ребенка. Результаты исследования «подчеркивают (подчеркнули) большое значение того факта, что взаимосвязь между просмотром детской порнографии и сексуальными домогательствами к детям имеет сложную взаимообусловленность». Было установлено, что действующие в сети Интернет преступники «были с гораздо большей вероятностью причастны к сексуальному насилию над детьми путем непосредственного контакта», и «многие (из них) могут быть скрытыми педофилами, и использование ими детской порнографии служит признаком их парафильного расстройства». Если бы не их противоправная деятельность в сети Интернет, «эти преступники могли бы в противном случае так и не попасть в поле зрения правоохранительных органов».
В целом для преступников из выборки ВГРГ был характерен относительно высокий уровень прошлого и параллельного опыта преступлений, связанных с сексуальным насилием над детьми вне сети Интернет. В отношении более чем половины подозреваемых с судимостями за сексуальное насилие над детьми имелись доказательства продолжения ими связанной с этим деятельности. При этом ввиду ограниченного характера и потенциального смещения выборки ВГРГ невозможно дать ответ на вопрос, существует ли для лиц, причастных к преступлениям в сфере детской порнографии в сети Интернет, повышенный риск того, что они также причастны к сексуальным преступлениям в отношении детей в «реальной жизни». Это является важным направлением для будущих исследований.
Роль организованных преступных групп
Многие киберпреступления требуют высокой степени организованности и специализации, и вполне возможно, что степень вовлеченности обычных преступных групп в киберпреступную сферу высока, по крайней мере в части киберпреступлений, совершаемых в целях получения финансовой выгоды, таких как компьютерное мошенничество, подлог и использование персональных данных. При этом необходимо помнить, что на оценки показателей доли киберпреступлений, относимых к организованной преступности, влияют, в частности, значения определений «киберпреступность» и «организованная преступность», а также степень распространенности различных видов киберпреступлений в пределах исследуемого контингента. Например, элемент организованной преступности может быть низким в случае деяний, относящихся к детской порнографии, если частные пользователи, скачивающие материалы из Сети, не рассматриваются как действующие в составе структурированной группы с целью совершения противоправного деяния.
Более того, применение имеющихся моделей организованной преступности к деятельности онлайн сталкивается с определенными препятствиями. Традиционные характерные черты организованной преступности, такие как насилие и контроль над территорией, трудно интерпретировать в контексте киберпреступной деятельности. Наряду с этим аспекты традиционного «управления» организованными преступными группами, включая доверие и принуждение, невозможно легко трактовать в среде сетевых форумов или тематических чатов. Тем не менее то, что могут делать отдельные люди, могут делать и организации, и часто эффективнее. Интернет и сопутствующие ему технологии хорошо приспособлены для более широкой координации между частными лицами на большой территории, поскольку открывают возможности для быстро распадающихся «роевых» преступных объединений и для отклонения от традиционных моделей стандартных и региональных иерархично структурированных объединений.
В относительно короткий период времени киберпреступность трансформировалась из малопроизводительных преступлений, совершаемых отдельными преступниками-специалистами, в стандартную крупномасштабную преступность, «организованную и индустриализированную».
По данным одного из исследований 2012 г., в котором рассмотрена выборка из 500 зарегистрированных киберпреступлений, более 80% цифровых преступлений сегодня могут содержать в себе некоторые элементы организованной деятельности. Верхнее значение для отнесения к организованной преступности может достигать 90%. Как отмечено в докладе Европола «IOCTA», если это еще не произошло, в ближайшем будущем большинство следственных действий в отношении транснациональной организованной преступности потребуют определенных форм расследования в сети Интернет. Сборник дел, касающихся организованной преступности, УНП ООН, несмотря на его целенаправленный акцент на уголовные дела организованной преступности, содержит вывод о том, что присутствие организованной преступной группы в качестве постоянно действующего фактора во всех проанализированных делах, связанных с киберпреступле-ниями, «существенно уменьшает роль одиночного хакера как главного субъекта в сфере киберпреступности». В сборнике также отмечается, что природа киберпреступлений «обязательно требует привлечения большого объема средств и человеческих ресурсов».
Структура группы, В одном из исследований организованной преступности и киберпреступности предложена типология, основанная на степени вовлеченности групп в деятельность в сети Интернет (в отличие от деятельности офлайн) и структуре связей внутри группы. К типу I предлагается относить группы, чья деятельность в значительной степени сосредоточена или направлена на цифровую среду. Группы, относящиеся к типу II, периодически меняют направление своей деятельности, причем они могут и переключаться, и сочетать деятельность онлайн и офлайн. Тип I далее подразделяется на «рои» (ориентированные на работу в Сети диссоциированные структуры) и «хабы» (ориентированные на работу в Сети ассоциированные структуры).
С точки зрения правоохранительных структур децентрализованный, сотовый характер «роев», не имеющий очевидной схемы подчинения, может представлять трудности для работы органов правопорядка. С другой стороны, тот факт, что «рои» зачастую являются любительскими структурами, в которых отсутствует тщательный отбор «членов» группы, может давать определенные возможности полицейским органам. Осуществить проникновение в «хабы» может быть более сложной задачей, но при всём этом они обладают четкой командной структурой и ключевыми агентами, на которых правоохранительные органы могут сосредоточить свое внимание. Кластерные и расширенные гибриды типа II могут иметь запутанные многозвеньевые структуры, которые могут разрабатываться только посредством уникальных операций правоохранительных органов. Вместе с тем тот факт, что такие группы могут быть в какой-то степени согласованы, предоставляет возможности для последовательных действий (в ином порядке) в отношении отдельных преступных операций. В дополнение к изложенному предложенный тип III сплоченных в группы преступников охватывает деятельность, которая ведется преимущественно вне Сети, но при всём этом в значительной степени пересекается или служит связующим звеном с цифровым пространством. Опыт показывает, что организационные структуры часто переплетаются весьма гибкими способами, поэтому все эти виды структур играют определенную роль в киберпреступной деятельности. Вполне возможно, что более 60% структур приходится на «хабы» и кластерные расширенные гибриды.
Организованные структуры, созданные с целью совершения киберпреступлений для получения финансовой выгоды, таких как хищение банковских реквизитов и номеров кредитных карточек, явились объектом особенно тщательного анализа. «Черный рынок» киберпреступности характеризуется степенью взаимодействия групп и частных лиц, выполняющих различные и иногда множественные роли (включая «программистов», «распространителей», «технических специалистов», «хакеров», «мошенников», «хостеров», «обналичивателей средств», «денежных курьеров», «кассиров» и «лидеров») в процессе создания вредоносного программного обеспечения, компьютерного заражения (в частности, посредством фишинга электронной почты), управления бот-сетями, сбора персональных и финансовых данных, продажи сведений и получения денег за финансовую информацию.
Одним из способов взаимодействия на этом рынке является использование нелегальных форумов (работа которых зачастую обеспечивается анонимными серверами или «луковой маршрутизацией», известной как Тог) для обмена информацией и продажи консалтинговых услуг через посредников, услуг по распространению заражения, аренды бот-сетей, распространения спама, хостинга, списков адресов электронной рассылки и финансовой информации. С учетом того, что такие рынки могут включать в себя большое количество отдельных лиц в целом, их объединение в сообщества может быть неустойчивым, особенно в случае с денежными курьерами и криминальными «деловыми» сделками, такими как аренда бот-сети лицом или группой у других лиц или групп. Бот-сети используются для осуществления атак на информационные системы и хищения данных и при всём этом сдаются в аренду за сравнительно невысокую цену, поскольку прибыль обеспечивается за счет оборота, обусловленного числом «клиентов». Например, стоимость сервера с хранящимися на нем вредоносными программами, комплектами для эксплуатации уязвимостей или компонентами бот-сети может колебаться в пределах от 80 до 200 долларов США в месяц. Один административный пакет бот-сети, известный как «Eleonore Exploit Pack», имеет розничную стоимость 1000 долларов США. Аренда бот-сети размером от 10 до 20 компьютеров, управляемой с помощью данного пакета, обходится в 40 долларов США в день. Комплект «Zeus kit vl.3» стоит от 3000 до 4000 долларов США. Это относительно низкие расценки в сравнении с потенциальной финансовой выгодой, которая может колебаться в пределах от десятков тысяч до десятков миллионов долларов.
В совокупности рынок не является единой корпоративной системой преступных групп. Скорее, его можно охарактеризовать как «социальную сеть людей, вовлеченных в преступную деятельность». Некоторые лица и малые группы, такие как изначальные разработчики вредоносного программного обеспечения и владельцы серверов управления и контроля бот-сетей, могут представлять собой ключевые элементы рынка, вокруг которых вращаются другие отдельные лица, «рои» и «хабы». Исходя из имеющихся на сегодняшний день данных о расследованиях и арестах, произведенных правоохранительными структурами, лица, ответственные за разработку и управление ключевыми компонентами рынка, такими как бот-сети, по-видимому, действуют в составе сравнительно небольших групп или даже в одиночку. Например, среди категории групп, определенных и рассмотренных в рамках исследования «BAE Detica/LMU», наиболее распространенной схемой организационной структуры являлись объединения из трех — пяти человек, действовавших совместно приблизительно в течение года. Половина групп состояла из шести или более человек, четвертая их часть имела в составе 11 или более человек. Четверть активных групп функционировала менее шести месяцев. Тем не менее размер группы или длительность совместной работы не обязательно коррелировала со степенью тяжести преступления — малые группы могут нанести большой ущерб за короткий промежуток времени.
В тех случаях, когда отдельные лица и объединения внутри рынка не соответствуют формальному определению организованной преступности, все же возможно, что они будут подпадать под положения о преступных объединениях или преступном сговоре в соответствии со ст. 5 Конвенции ООН против транснациональной организованной преступности, которые распространяются на типы преступлений по предварительному сговору и (или) в рамках преступного объединения, а также организацию, руководство, пособничество, подстрекательство, содействие или дачу советов в отношении тяжкого преступления, совершенного при участии организованной преступной группы.
Географическое распределение. Несмотря на распространенное мнение о том, что киберпреступники действуют в децентрализованной среде и в мировом масштабе, факты свидетельствуют о том, что группы все же могут находиться в географической близости, даже если их действия носят транснациональный характер. В частности, значимым фактором, помимо тесных семейных и дружеских связей, остается локальная или региональная связь. В самом деле даже там, где группы поддерживают связь через Интернет, факты свидетельствуют о том, что они используют методы взаимодействия и формы обмена информацией, которым свойственны «локальные» характеристики. Это приводит к эффекту «локализации», т. е. преступные группы задействуют языковые и культурные факторы для развития своей деятельности. Для многих нелегальных сетевых форумов, например, характерно использование местных языков, псевдонимов и культурных маркеров. Это способствует как затруднению проникновения со стороны правоохранительных органов, так и самоидентификации доверенных сообщников.
referatwork.ru
Исследовательская работа
На тему: «Киберпреступность. Троянский конь»
Выполнил: ученик 9 А класса
Мухтаруллин А.А.
Научный руководитель:
учитель информатики,
Шульц Н.Г.
г. Муравленко, 2009 г.
СОДЕРЖАНИЕ
Введение
Глава 1. Условия существования киберпреступлений.
1.1. Киберпреступность как бизнес.
1.2. Принципы реализации атак.
Глава 2. «Троянского конь» в современных киберпреступлениях.
2.1. Сущность и классификация троянских программ.
2.2. Основные тенденции развития троянских программ.
Заключение
Список использованной литературы
ВВЕДЕНИЕ
В наши дни большинство людей значительную часть своего времени проводят в Интернете. Этот виртуальный мир во многом отражает мир реальный: преступность, являющаяся, к сожалению, неотъемлемой частью социума, существует и в виртуальном мире. Растущий обмен информационными данными в Интернете и электронные платежи – это именно тот лакомый кусок, который более всего привлекает злоумышленников. Структура современной киберпреступности практически сформирована: уже существуют четко определённые взаимоотношения и бизнес-модели.
Криминальная деятельность всегда была зеркальным отражением легального бизнеса: образ финансиста-мафиози — первое, что приходит в голову. Однако современная киберпреступность – это не одна-две мафиозных организации во главе с предводителем. Скорее, это мир, состоящий из взаимодополняющих и взаимодействующих друг с другом групп.
Современная киберпреступность развивается так же, как и любой другой бизнес. Прибыльность, управление рисками, освоение новых рынков тоже являются важными составляющими этого бизнеса
Цель исследования: изучение вредоносных программ, с целью предотвращения их воздействия.
Для достижения поставленной цели, были выбраны следующие задачи:
Рассмотреть условия существования киберпреступности.
Изучить сущность и классификацию троянских программ.
Выявить и проанализировать наиболее опасные троянские программы.
Гипотеза: знание сущности и оказываемого вреда вредоносными программами, поможет уменьшить их воздействие.
Предмет исследования: компьютерная преступность.
Объект исследования: троянские программы.
При написании работы применялись монографический и аналитический методы исследования.
Информационной базой для исследования являются нормативные документы в области компьютерной вирусологии, учебная литература, периодические издания, Интернет.
Глава 1. Условия существования киберпреступлений
1.1 Киберпреступность как бизнес
Важнейшей критерием оценки любого бизнеса является прибыльность, и киберпреступность здесь не исключение. Киберпреступность невероятно прибыльна! Огромные суммы денег оказываются в карманах преступников в результате отдельных крупных афер, не говоря уже о небольших суммах, которые идут просто потоком. Например, только в 2007 году практически каждый месяц совершалось одно серьезное преступление с использованием современной вычислительной и электронной техники.
Январь 2007. Российские хакеры с помощью своих шведских «коллег» украли 800 000 ЕВРО из шведского банка Nordea
Февраль 2007. Бразильская полиция арестовала 41 хакера за использование троянской программы для кражи банковской информации, которая позволила им заработать 4,74 миллиона долларов.
Февраль 2007. В Турции арестованы 17 членов банды интернет-мошенников, которым удалось украсть почти 500 000 долларов
Февраль 2007. Арестован Ли Чжун, создатель вируса “Панда” (Panda burning Incense), нацеленного на кражу паролей к онлайн-играм и учетным записям систем интернет-пейджинга. Предполагается, что на продаже своей вредоносной программы он заработал около 13 000 долларов.
Март 2007. Пять граждан восточно-европейских государств посажены в тюрьму в Великобритании за мошенничество с кредитными картами, их добыча составила порядка 1,7 миллионов фунтов стерлингов.
Июнь 2007. В Италии арестованы 150 киберпреступников, которые забрасывали итальянских пользователей мошенническими сообщениями. Их доход составил почти 1,25 миллионов евро.
Июль 2007. По неподтвержденным данным российские киберворы, используя троянскую программу, похитили 500 000 долларов у турецких банков
Август 2007. Украинец Максим Ястремский, известный также как Maksik, задержан в Турции за кибермошенничество с использованием электронных систем и незаконное присвоение десятков миллионов долларов.
Сентябрь 2007. Грегори Копилофф (Gregory Kopiloff) обвинен властями США в краже персональных данных с помощью файлообменных сетей Limewire и Soulseek. Полученную информацию он использовал для реализации мошеннических схем и выручил на этом тысячи долларов.
Октябрь 2007. В США арестован Грег Кинг (Greg King) за участие в организации февральской DDoS-атаки на сайт Castle Cops. Его приговорили к десяти годам тюремного заключения и штрафу 250 000 долларов.
Ноябрь 2007. ФБР арестовало восемь человек в ходе второй части операции Operation Bot Roast по борьбе с ботсетями. По результатам операции была названа сумма экономического ущерба, составившая более 20 млн. долларов, и выявлено более миллиона компьютеров-жертв.
Декабрь 2007. Киберпреступники взломали компьютеры департамента энергетики Национальной лаборатории Оак Риджа (ORNL), Теннесси, США. По имеющимся данным атаке подверглись также Национальная лаборатория в Лос Аламосе и Национальная лаборатория Лоуренса в Ливерморе, Калифорния. Были украдены более 12 000 номеров карт социального страхования и дат рождения посетителей ONRL за период с 1999 до 2004. Этот инцидент – из ряда проблем национальной безопасности, поскольку демонстрирует незащищенность отдельной личности в случае кражи идентификационных данных и финансового мошенничества.
Эти случаи – лишь вершина айсберга: сами потерпевшие и правоохранительные органы потрудились привлечь к ним внимание общественности. Но чаще всего организации, подвергшиеся атаке, сами проводят расследование, или этим занимаются правоохранительные органы – но без огласки. Результаты практически никогда не обнародуются. В диаграмме, взятой из отчета Института защиты информации в компьютерных системах, приведены причины, по которым организации предпочитают не сообщать о случаях компьютерного вторжения.
1.2 Принципы реализации атак
У каждого поколения преступников свои инструменты. Современные киберпреступники выбрали своим оружием троянские программы, с помощью которых они строят ботнеты для кражи паролей и конфиденциальной информации, проводят DoS атаки и шифруют данные, чтобы затем шантажировать своих жертв. Характерной и опасной чертой сегодняшних вредоносных программ является то, что они стремятся сохранить свое присутствие на инфицированной машине. Для достижения этой цели киберпреступники используют различные технологии.
В настоящее время некоторые преступники предпочитают проводить отдельные атаки, нацеленные на конкретные организации. Само по себе написание специальной программы для одной целевой атаки – задача трудоемкая, но важно еще обеспечить этой программе работоспособность на зараженном компьютере в течение долгого времени. Однако уж если эти целевые атаки удается запустить, успех им практически обеспечен: киберпреступники не только компенсируют себе все затраты на разработку и запуск атаки, но и получают солидную прибыль.
Современные киберпреступники для получения желаемого результата должны правильно организовать два важных момента: доставку и обеспечение работоспособности программы.
Первый шаг любого киберпреступления – доставка и установка вредоносной программы. Преступники используют несколько технологий для достижения этой цели. Основные современные способы распространения вредоносных программ (так называемые векторы заражения) – это спам-рассылки и зараженные веб-страницы. Идеальным для преступников является компьютер-жертва, который имеет уязвимость. Уязвимость позволяет преступникам установить вредоносную программу, как только она доставлена со спам-рассылкой, или с помощью так называемых технологий drive by download при посещении пользователем инфицированных интернет-сайтов.
Следующая задача киберпреступников после доставки вредоносной программы – как можно дольше сохранить ее необнаруженной. Вирусописатели используют несколько технологий для того, чтобы увеличить «срок службы» каждой части вредоносной программы.
Первостепенная стратегическая задача, стоящая перед любым вирусописателем, – сделать свою вредоносную программу невидимой не только для того, чтобы успешно ее доставить, но и для того, чтобы она «выжила». Чем менее видима программа для систем антивирусных радаров раннего оповещения, тем дольше ее можно будет использовать для получения доступа к зараженным компьютерам и сбора информации. Стандартные технологии сокрытия программы на компьютере включают применение руткитов, блокирование системы извещений об ошибках и окон предупреждений, выдаваемых антивирусом, сокрытие увеличения размеров файлов, использование множества разнообразных упаковщиков.
Во избежание обнаружения вредоносных программ вирусописатели широко используют технологию умышленного запутывания. Полиморфизм – одна из таких технологий, он был популярен в 90-х годах, но затем фактически исчез. Сегодня вирусописатели вернулись к полиморфизму, но они редко предпринимают попытки изменять код на компьютерах жертв. Вместо этого применяется так называемый «серверный полиморфизм» — изменение кода на веб-серверах с включением в него «пустых» инструкций, изменяющихся с течением времени, что существенно затрудняет обнаружение новых вредоносных программ, размещенных на веб-сервере.
Глава 2. «Троянского конь» в современных киберпреступлениях
2.1 Сущность и классификация троянских программ
Троянская программа (также — троя́н, троя́нец, троя́нский конь, тро́й) — программа, используемая злоумышленником для сбора информации, её разрушения или модификации, нарушения работоспособности компьютера или использования его ресурсов в неблаговидных целях. По принципу распространения и действия троян не является вирусом, так как не способен распространяться саморазмножением.
Троянская программа запускается пользователем вручную или автоматически — программой или частью операционной системы, выполняемой на компьютере-жертве (как модуль или служебная программа). Для этого файл программы (его название, иконку программы) называют служебным именем, маскируют под другую программу (например, установки другой программы), файл другого типа или просто дают привлекательное для запуска название, иконку и т. п.
Схожие вредоносные и маскировочные функции также используются компьютерными вирусами, но в отличие от них, троянские программы не умеют распространяться самостоятельно. Вместе с тем, троянская программа может быть модулем вируса.
Троянские программы различаются между собой по тем действиям, которые они производят на зараженном компьютере.
Backdoor — троянские утилиты удаленного администрирования
Утилиты скрытого управления позволяют делать с компьютером все, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т. д.
Trojan-PSW — воровство паролей
При запуске PSW-троянцы ищут сиcтемные файлы, хранящие различную конфиденциальную информацию (обычно номера телефонов и пароли доступа к интернету) и отсылают ее по указанному в коде «троянца» электронному адресу или адресам.
Trojan-Clicker — интернет-кликеры
Семейство троянских программ, основная функция которых — организация несанкционированных обращений к интернет-ресурсам.
Trojan-Downloader — доставка прочих вредоносных программ
Троянские программы этого класса предназначены для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки «троянцев» или рекламных систем.
Trojan-Dropper — инсталляторы прочих вредоносных программ
В результате использования программ данного класса хакеры достигают двух целей: скрытная инсталляция троянских программ и/или вирусов; защита от антивирусных программ, поскольку не все из них в состоянии проверить все компоненты внутри файлов этого типа.
Trojan-Proxy — троянские прокси-сервера
Семейство троянских программ, скрытно осуществляющих анонимный доступ к различным интернет-ресурсам. Обычно используются для рассылки спама.
Trojan-Spy — шпионские программы
Данные троянцы осуществляют электронный шпионаж за пользователем зараженного компьютера: вводимая с клавиатуры информация, снимки экрана, список активных приложений и действия пользователя с ними сохраняются в какой-либо файл на диске и периодически отправляются злоумышленнику.
Trojan-Notifier — оповещение об успешной атаке
Троянцы данного типа предназначены для сообщения своему «хозяину» о зараженном компьютере.
2.2 Основные тенденции развития троянских программ
В программах, относящихся к классу троянских, на сегодняшний день можно выделить следующие основные тенденции:
Значительный рост числа программ-шпионов, крадущих конфиденциальную банковскую информацию. Новые варианты подобных программ появляются десятками за неделю и отличаются большим разнообразием и принципами работы. Некоторые из них ограничиваются простым сбором всех вводимых с клавиатуры данных и отправкой их по электронной почте злоумышленнику. Наиболее мощные могут предоставлять автору полный контроль над зараженной машиной, отсылать мегабайты собранных данных на удаленные сервера, получать оттуда команды для дальнейшей работы.
Стремление к получению тотального контроля над зараженными компьютерами. Это выражается в объединении их в зомби-сети, управляемые из единого центра.
Использование зараженных машин для рассылки через них спама или организации атак.
Отдельного рассмотрения требуют такие классы программ, как Trojan-Dropper и Trojan-Downloader. Конечные цели у них абсолютно идентичны — установка на компьютер другой вредоносной программы, которая может быть как червем, так и «троянцем». Отличается только принцип их действия. «Дропперы» могут содержать в себе уже известную вредоносную программу или наоборот — устанавливать новую ее версию. Также «дропперы» могут устанавливать не одну, а сразу несколько вредоносных программ, принципиально отличающихся по поведению и даже написанных разными людьми.
Оба эти класса вредоносных программ используются для установки на компьютеры не только троянских программ, но и различных рекламных (advware) или порнографических (pornware) программ.
По итогам работы антивирусных служб в 2008 году зафиксировано 23 680 646 атак на российских пользователей, которые были успешно отражены.
Таблица 1.
Рейтинг троянских программ в 2008 году
№ п/п | Название | Количество | Процент |
1 | Heur.Trojan.Generic | 248857 | 7,08% |
2 | Trojan-Downloader.Win32.Small.aacq | 228539 | 6,50% |
3 | Trojan-Clicker.HTML.IFrame.wq | 177247 | 5,04% |
4 | Trojan-Downloader.SWF.Small.ev | 135035 | 3,84% |
5 | Trojan-Clicker.HTML.IFrame.yo | 121693 | 3,46% |
6 | Trojan-Downloader.HTML.IFrame.wf | 107093 | 3,05% |
7 | Trojan-Downloader.Win32.Small.abst | 78014 | 2,22% |
8 | Trojan-Downloader.JS.Agent.dau | 73777 | 2,10% |
9 | Trojan-Downloader.JS.IstBar.cx | 68078 | 1,94% |
10 | Trojan-GameThief.Win32.Magania.gen | 66136 | 1,88% |
11 | Trojan-Downloader.JS.Iframe.yv | 62334 | 1,77% |
12 | Trojan.HTML.Agent.ai | 60461 | 1,72% |
13 | Trojan-Downloader.JS.Agent.czf | 41995 | 1,20% |
Наиболее распространенной и активной вредоносной программой 2008 года является Trojan-Downloader.Win32.Small.aacq.
По итогам работы антивирусных служб в январе 2009 года мы сформировали главную вирусную двадцатку.
В этой таблице зафиксированы те вредоносные, рекламные и потенциально опасные программы, которые были детектированы на компьютерах пользователей.
Таблица 2.
Рейтинг вредоносных программ в январе 2009 года.
Позиция | Изменение позиции | Вредоносная программа |
1 | Virus.Win32.Sality.aa | |
2 | Packed.Win32.Krap.b | |
3 | 1 | Worm.Win32.AutoRun.dui |
4 | -1 | Trojan-Downloader.Win32.VB.eql |
5 | 3 | Trojan.Win32.Autoit.ci |
6 | Trojan-Downloader.WMA.GetCodec.c | |
7 | 2 | Packed.Win32.Black.a |
8 | -1 | Virus.Win32.Alman.b |
9 | 5 | Trojan.Win32.Obfuscated.gen |
10 | 10 | Trojan-Downloader.WMA.GetCodec.r |
11 | новинка | Exploit.JS.Agent.aak |
12 | -1 | Worm.Win32.Mabezat.b |
13 | -3 | Worm.Win32.AutoIt.ar |
14 | 1 | Email-Worm.Win32.Brontok.q |
15 | новинка | Virus.Win32.Sality.z |
16 | новинка | Net-Worm.Win32.Kido.ih |
17 | появление вновь | Trojan-Downloader.WMA.Wimad.n |
18 | -2 | Virus.Win32.VB.bu |
19 | -2 | Trojan.Win32.Agent.abt |
20 | новинка | Worm.Win32.AutoRun.vnq |
Появившиеся в декабрьском рейтинге Trojan.HTML.Agent.ai и Trojan-Downloader.JS.Agent.czm в этом месяце нашли себе замену в виде Exploit.JS.Agent.aak. Исчезнувшего из рейтинга червя AutoRun.eee заменяет теперь Worm.Win32.AutoRun.vnq. Это вполне закономерно, так как частые смены модификаций характерны для этих классов зловредных программ.
Выбывший из рейтинга в ноябре Trojan-Downloader.WMA.Wimad.n вернулся в игру. Таким образом, в рейтинге мы имеем сразу три нестандартных загрузчика, что свидетельствует о массовом распространении такого типа троянских программ и доверии пользователей файлам мультимедиа. Более того, схема распространения зловредных программ с использованием мультимедийных загрузчиков оказалась весьма эффективной. Это подтверждается скачком Trojan-Downloader.WMA.GetCodec.r сразу на 10 пунктов вверх.
ЗАКЛЮЧЕНИЕ
Скорее всего, мировой финансовый кризис никак не затронет игровую индустрию, и в 2009 году развитие игровых миров продолжится.
Атаки злоумышленников становятся все масштабнее и изощреннее. А действия игроков способствуют росту черного рынка виртуальных ценностей, на чем зарабатывают деньги хакеры и вирусописатели.
«Троянский конь» является наиболее опасной из всех вредоносных программ, поскольку:
Во-первых, кризис заставляет интернет-пользователей более нервно реагировать на любые события, связанные с платежными системами, онлайн-банкингом, электронными деньгами. В период, когда банки разоряются, меняют владельцев или испытывают проблемы с выплатами, появляется много новых возможностей для атак на пользователей.
Во-вторых, учитывая, что современные вредоносные программы требуют все больше ресурсов для их разработки, распространения и использования, для множества злоумышленников на первый план выходят более простые, дешевые и грубые методы атак. Троянские программы могут стать для киберпреступников одним из наиболее привлекательных решений.
Для того чтобы справиться с киберпреступностью, необходимо создавать и внедрять защитные стратегии. На самом деле программное обеспечение для борьбы с вредоносными программами и стратегии по управлению рисками важны на всех уровнях.
По моему мнению помимо соответствующих стратегий защиты успешная борьба с киберпреступностью требует совместных усилий. Должен действовать интернет-Интерпол, должна вестись постоянная разъяснительная работа, подобная той, которая ведется по поводу необходимости использовать ремни безопасности в автомобиле. Должны существовать правила, соблюдение которых будет обязательно при нахождении в интернете. Эти же правила должны поддерживать действия правоохранительных органов. Как и в случае с ремнями безопасности, требуется длительная и упорная воспитательная работа для того, чтобы пользователи осознали необходимость таких мер.
РЕКОМЕНДАЦИИ
Результаты данного исследования могут стать полезными всем пользователям персональных компьютеров, заботящихся о сохранности своих документов и об информационной безопасности.
Также их можно применить на уроках информатики, для ознакомления учеников с вредоносными программами. Важно еще со школы осознавать наносимый вред киберпреступлениями.
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
1. Фридланд А.Я. Информатика и компьютерные технологии: Основные термины: Толков. Слов.: Более 1000 базовых понятий и терминов. – 3-е изд. испр. и доп./ А.Я. Фридланд, Л.С. Ханамирова, И.А. Фридланд. – М.: ООО «Издательство Астрель», 2003. – 272 с.
2. Шафрин Ю.А. 1500 основных понятий, терминов и практических советов для пользователей персональным компьютером. – М.: Дрофа, 2001. – 272 с.
3. Первин Ю.А. Информатика дома и в школе. Книга для ученика. – СПб.: БХВ – Петербург, 2003. – 352 с.
4. Интернет сайт www.metod-kopilka.ru
5. Интернет сайт ru.wikipedia.org/wiki/троянские_программы
6. Интернет сайт www.viruslist.com/ru/analysis?pubid=204007644
7. Интернет сайт www.viruslist.com/ru/analysis?pubid=204007643
Приложение 1
Типовая архитектура системы выявления атак.
Приложение 2
www.ronl.ru
Преступники постоянно изыскивают новые пути для реализации своих планов. С развитием информационных технологий в нашей жизни закон стали нарушать с помощью компьютеров, телефонов и Интернета. К сожалению, особенности киберпреступлений понятны только специалистам.
Обыватель лишь знает, что надо пользоваться антивирусом. Но от чего он защищает, да и какую программу надо выбрать - остается для большинства загадкой. Люди боятся киберпреступности, приписывая ей, порой, несуществующие черты. Стоит развенчать некоторые мифы об этом явлении, чтобы лучше его понимать.
Киберпреступление является взломом данных. Главный стереотип о хакерах навеян нам миром кинематографа. Мы представляем себе человека, сидящего перед монитором и быстро нажимающего на клавиши. При этом на экране бегут сотни строчек кода так быстро, что обычный человек не может и прочесть, что же там такое. В итоге хакер торжественно нажимает клавишу "Ввод", после чего на экране появляется заветное окно с надписью "Доступ получен". Кажется, что именно так и действуют все киберпреступники. На самом деле большинство преступлений не предусматривают непосредственно криминальной деятельности. Хакерам надо просто дождаться ошибок своих жертв, которые и выполнят за них всю грязную работу. Есть довольно популярные виды мошенничества - фишинг, зараженные электронные письма. Но обычно все происходит, благодаря действиям пользователей. О том, как Интернет становится орудием грабежа, известно немногое. Не стоит бояться, что где-то за экраном монитора прячутся грабители и норовят проникнуть в дом. Миф развенчает реальная история. Полиция города Нашуа в американском штате Нью-Гэмпшир выявила группу преступников, которая сумела выкрасть имущества на сумму в 200 тысяч долларов. А действовали мошенники очень просто. Они в Фейсбуке выявляли тех пользователей, которые сообщали о скором отбытии в путешествие. Оставалось только в отсутствие хозяев забраться в пустой дом. Никто не догадался даже свет оставить включенным, чтобы хоть как-то отпугнуть грабителей. Так что при пользовании Интернетом надо помнить, что преступника могут не остановить антивирусы и брандмауэры. Главное - иметь голову на плечах и не помогать мошенникам.
Незаконные скачивания можно легко контролировать. Кажется, что все незаконные скачивания фильмов, игр и музыки можно легко остановить. Надо всего лишь найти тех, кто инициирует этот процесс, и прекратить его. Но можно ли таким образом решить проблему? И тут начинаются первые сложности. Дубликат файла легко создать на другом сервере, сформировав "зеркало". Даже если основной сервер будет заблокирован, преступники просто воспользуются копией файла. Можно попытаться заблокировать вообще все веб-сайты, ссылающиеся на незаконные зеркала. Но и этот подход проблему с киберпиратами не решит. Например, знаменитый торрент-трекер The Pirate Bay блокировали законным образом во многих странах. Но люди все равно имеют к нему доступ, пользуясь прокси-серверами. Им блокировка нипочем, так запрещенный контент все равно попадает к пользователю. Просто заблокировать сайт легко, куда сложнее сохранить его в таком состоянии. Это серьезная работа, требующая ресурсов и круглосуточного внимания каждый день.
Антивирусы могут успешно противостоять любым угрозам. Считается, что Интернет кишит вирусами и зловредными программами. Но от заражения ими компьютера спасают специальные средства, которые автоматически блокируют нарушителя и защищают данные пользователя. Раньше действительно было так. Но сегодня разработчики вирусов знают классические алгоритмы работы антивирусов. Им требуется каталог (база данных) описаний вирусов. С его помощью и происходит сканирование файлов и процессов. Тогда создатели вирусов пошли другим путем. Они не пытаются внедрить один долгоживущий вирус, который может обнаружить и заблокировать система защиты. С целью избегания обнаружения распространяется целый спектр вирусов с короткой жизнью. И это действительно однодневки. Компания Fireeye считает, что 82% современных вирусов живет всего лишь час. Это позволяет трети атак остаться незамеченными даже коммерческими антивирусными программами. Не стоит спешить отключать себе Интернет и прятать компьютер подальше от сети. Надо понимать, что лучшая стратегия антивируса - знание. Мы должны понимать, как вести себя в онлайне и сохранять свою безопасность. А начать стоит с бесплатных скринсейверов с умилительными картинками, скачанных с непонятных сайтов. Скорее всего, внутри таких программ прячутся "трояны".
Вирусы атакуют только лишь Microsoft Windows, на других операционных системах их нет. Когда Интернет только лишь начинал развиваться, такое утверждение носило коммерческую окраску. Оно позволяло улучшить продажи компании Apple. Когда для Windows существовало множество вирусов, другие системы с ними вообще не сталкивались. Казалось, что куда безопаснее пользоваться Mac OS или же Linux. Появился такой миф неслучайно. Вирус обычно создается для одного семейства операционных систем. Логично предположить, что выбирается самый распространенный вариант, с наибольшим числом пользователей. Выбирается та операционная система, в которой обрабатываются личные и корпоративные данные. Так как Windows и добилась наибольшего распространения, то она и стала желанной целью для хакеров. А в основе той же Mac OS лежит платформа UNIX, что гарантирует системе дополнительную безопасность. Но и продукция Apple вовсе не вершина безопасности. Популярность этой операционной системы, как и iOS, заставила преступников иначе взглянуть на свои приоритеты. И вот уже возникают громкие скандалы с утечкой данных из сервисов Apple. Благодаря Celebgate, многие люди смогли увидеть фотографии обнаженных звезд. А ведь эта информация хранилась в защищенном облачном сервисе iCloud. Именно поэтому не стоит однозначно полагать, что Mac OS надежнее Windows. Владельцу компьютера в любом случае необходимо заботиться о безопасности своих данных. И уже явно не стоит выкладывать в Интернет свои личные и интимные фотографии.
Крупный бизнес защищен от вирусных атак. Кажется, что крупнейшие компании вкладывают миллионы в обеспечение своей безопасности и уж им-то ничего не угрожает. Однако скандал с воровством фотографий знаменитостей прозвучал тревожным сигналом. Стало понятно, что хакеры способны преодолеть даже серьезную защиту. Крупная компания представляет собой непробиваемую стену брандмауэра, за которой все запаролено, а за порядком следит служба безопасности. И хотя масштабы мер по обеспечению безопасности внушают уважение, это не значит, что их нельзя обойти. Не так давно компания Sony попала в скандал. Злоумышленники смогли взломать устаревшее программное обеспечение. Взлом базы данных Sony Playstation привел к публикации информации о платежах пользователей. Власти вынуждены были оштрафовать компанию на 400 тысяч долларов за халатность в области безопасности.
Пароли должны быть сложными. Для авторизации на сайтах пользователи обычно стараются придумывать сложные пароли. Считается, что их будет тяжело подобрать. Для этого выбирается большая длина, символы в разных регистрах, спецсимволы. Правда, сами пользователи порой затрудняются вспомнить свой собственный сложный пароль. Но время для выбора замудренных паролей прошло. Согласно исследованиям, пароль длиной в 8 символов взламывают в 60% случаев, а вот шансы на взлом пароля из 16 знаков - 12%. Иными словами, сам по себе короткий пароль, даже с использованием дополнительных символов, будет более уязвимым, чем длинный, с ограниченным набором символов. Именно длина пароля и является чуть ли не определяющим фактором. Лучше выбрать легче запоминающийся и простой длинный пароль, чем сложный и короткий.
Лишь преступники становятся хакерами. Мы представляем себе хакеров, как одаренных преступников-одиночек или их группу, ломающих цифровые ворота в мир ценной информации. Порой кажется, что это просто виртуальные грабители, но иногда есть основания предполагать, что за их действиями стоят правительства или спецслужбы. И между крупнейшими странами мира уже ведется кибер-война. В 2013 году американские хакеры взломали сайт университета в китайском Цинхуа. Остается загадкой, что они там искали, но уж явно не рекламную информацию. И это лишь один пример из многих, где удалось установить причастных лиц. И прямо под носом у нас могут разворачиваться аналогичные действия. Но большинство пользователей тратит время, общаясь в чатах или просматривая видео на YouTube, не подозревая о своей причастности к большой игре.
Для нанесения ущерба преступникам нужен доступ к серверу. Часто действительно сбои в работе систем безопасности связаны с получением доступа к веб-сайтам и серверам. Но есть типы атак, когда внутренние меры безопасности соблюдаются. Часто применяется метод, называемый Direct Denial of Servise (DDoS). Такие атаки предусматривают бомбардировку веб-сайта запросами. В результате он не выдерживает потока обращений, из-за чего сайт подвисает. Эта ситуация напоминает приход в ресторан одновременно тысячи посетителей, каждый из которых сделает большой заказ, а потом извиняется и отказывается от всего.
DdoS-атаки очень популярны среди тех, кто хочет просто нанести ущерб компании. Есть пара известных группировок хакеров - LulzSec и Lizard Squad, которые именно этим и занимаются, обрушивая на какое-то время для своего лишь удовольствия крупнейшие сервисы. Но если такие атаки направлены на сайты интернет-магазинов, то могут принести компании и финансовый урон. Кто же из клиентов захочет делать заказ на "висящем" сайте? Но власти наказывают порой даже реальными сроками таких хакеров, некоторые представители вышеуказанных группировок отбывают тюремные наказания.
Если ссылку прислал твой друг - она безопасна. На заре развития глобальной сети популярным был совет не доверять сообщениям и ссылкам от незнакомых людей. Считалось, что только близкие люди могут прислать заслуживающие доверия ссылки, по которым и можно кликать. Но преступники обернули это убеждение на свою пользу. Они знают, что сообщение от незнакомого лица, да еще со ссылкой, обязательно блокируют или удалят. Тогда хакеры стали просто взламывать аккаунты людей и рассылать от их имени письма персоналиям из списка контактов, приглашая скачать некий файл или пройти по ссылке. Жертва, доверяя своему приятелю, делает то, что ее просят. И вскоре вирус получает контроль уже над новым аккаунтом. Один из вирусов получил контроль над многими аккаунтами в Фейсбуке, начав рассылать сообщения друзьям пользователей. Им предлагалось пройти по ссылке для просмотра видео на YouTube с участием отправителя. При переходе людям предлагалось загрузить некий плагин для просмотра видео. На самом же деле под его видом скрывался вирус. Он воровал аккаунты в Фейсбуке и Твиттере и рассылал себя уже от имени новых пользователей. Поток подозрительных писем возрождался вновь и вновь. Так что стоит понимать, что если вам пришло подозрительное письмо, пусть даже и от вашего друга, если в чате он начинает бросаться странными фразами и кидать ссылки, то речь может идти не о временном помешательстве, а о реальном взломе.
Преступные сайты легко выявить. Мы часто слышим в новостях, как власти арестовывают членов хакерских организаций. И кажется несложным поймать их. Надо лишь ввести в поисковике слова о преступной деятельности и тут же выведутся все сайты, имеющие к ней отношение. К сожалению, большинство преступников, по крайне мере самых предусмотрительных, в поисковике найти не удастся. Для их обнаружения придется воспользоваться Глубокой Паутиной. Речь идет о тех страницах Интернета, которые поисковиками не индексируются. Не стоит бояться Глубокой Паутины, она не так уж и плоха, просто содержит те страницы, которые поисковик по каким-то причинам проигнорировал. А размер ее составляет 90% от всего Интернета. Правда, большая часть этого объема - служебные страницы. Глубоким Интернетом пользуются люди, которые стараются сохранить в тайне ото всех свою деятельность. Для преступных сайтов тут нужно больше, чем логин и пароль. Порой требуется даже особенный браузер, чтобы обрабатывать соединения со страницей. Информация шифруется, чтобы невозможно было отследить соединение. Так пользователи получают доступ к сайтам, где можно, к примеру, приобрести оружие, наркотики. И властям очень трудно бороться с такими ресурсами, которые тут же воскрешаются после закрытия уже в новом обличье.
www.molomo.ru
Исследовательская работа
На тему: «Киберпреступность. Троянский конь»
Выполнил: ученик 9 А класса
Мухтаруллин А.А.
Научный руководитель:
учитель информатики,
Шульц Н.Г.
г. Муравленко, 2009 г.
СОДЕРЖАНИЕ
Введение
Глава 1. Условия существования киберпреступлений.
1.1. Киберпреступность как бизнес.
1.2. Принципы реализации атак.
Глава 2. «Троянского конь» в современных киберпреступлениях.
2.1. Сущность и классификация троянских программ.
2.2. Основные тенденции развития троянских программ.
Заключение
Список использованной литературы
ВВЕДЕНИЕ
В наши дни большинство людей значительную часть своего времени проводят в Интернете. Этот виртуальный мир во многом отражает мир реальный: преступность, являющаяся, к сожалению, неотъемлемой частью социума, существует и в виртуальном мире. Растущий обмен информационными данными в Интернете и электронные платежи – это именно тот лакомый кусок, который более всего привлекает злоумышленников. Структура современной киберпреступности практически сформирована: уже существуют четко определённые взаимоотношения и бизнес-модели.
Криминальная деятельность всегда была зеркальным отражением легального бизнеса: образ финансиста-мафиози — первое, что приходит в голову. Однако современная киберпреступность – это не одна-две мафиозных организации во главе с предводителем. Скорее, это мир, состоящий из взаимодополняющих и взаимодействующих друг с другом групп.
Современная киберпреступность развивается так же, как и любой другой бизнес. Прибыльность, управление рисками, освоение новых рынков тоже являются важными составляющими этого бизнеса
Цель исследования: изучение вредоносных программ, с целью предотвращения их воздействия.
Для достижения поставленной цели, были выбраны следующие задачи:
Рассмотреть условия существования киберпреступности.
Изучить сущность и классификацию троянских программ.
Выявить и проанализировать наиболее опасные троянские программы.
Гипотеза: знание сущности и оказываемого вреда вредоносными программами, поможет уменьшить их воздействие.
Предмет исследования: компьютерная преступность.
Объект исследования: троянские программы.
При написании работы применялись монографический и аналитический методы исследования.
Информационной базой для исследования являются нормативные документы в области компьютерной вирусологии, учебная литература, периодические издания, Интернет.
Глава 1. Условия существования киберпреступлений
1.1 Киберпреступность как бизнес
Важнейшей критерием оценки любого бизнеса является прибыльность, и киберпреступность здесь не исключение. Киберпреступность невероятно прибыльна! Огромные суммы денег оказываются в карманах преступников в результате отдельных крупных афер, не говоря уже о небольших суммах, которые идут просто потоком. Например, только в 2007 году практически каждый месяц совершалось одно серьезное преступление с использованием современной вычислительной и электронной техники.
Январь 2007. Российские хакеры с помощью своих шведских «коллег» украли 800 000 ЕВРО из шведского банка Nordea
Февраль 2007. Бразильская полиция арестовала 41 хакера за использование троянской программы для кражи банковской информации, которая позволила им заработать 4,74 миллиона долларов.
Февраль 2007. В Турции арестованы 17 членов банды интернет-мошенников, которым удалось украсть почти 500 000 долларов
Февраль 2007. Арестован Ли Чжун, создатель вируса “Панда” (Panda burning Incense), нацеленного на кражу паролей к онлайн-играм и учетным записям систем интернет-пейджинга. Предполагается, что на продаже своей вредоносной программы он заработал около 13 000 долларов.
Март 2007. Пять граждан восточно-европейских государств посажены в тюрьму в Великобритании за мошенничество с кредитными картами, их добыча составила порядка 1,7 миллионов фунтов стерлингов.
Июнь 2007. В Италии арестованы 150 киберпреступников, которые забрасывали итальянских пользователей мошенническими сообщениями. Их доход составил почти 1,25 миллионов евро.
Июль 2007. По неподтвержденным данным российские киберворы, используя троянскую программу, похитили 500 000 долларов у турецких банков
Август 2007. Украинец Максим Ястремский, известный также как Maksik, задержан в Турции за кибермошенничество с использованием электронных систем и незаконное присвоение десятков миллионов долларов.
Сентябрь 2007. Грегори Копилофф (Gregory Kopiloff) обвинен властями США в краже персональных данных с помощью файлообменных сетей Limewire и Soulseek. Полученную информацию он использовал для реализации мошеннических схем и выручил на этом тысячи долларов.
Октябрь 2007. В США арестован Грег Кинг (Greg King) за участие в организации февральской DDoS-атаки на сайт Castle Cops. Его приговорили к десяти годам тюремного заключения и штрафу 250 000 долларов.
Ноябрь 2007. ФБР арестовало восемь человек в ходе второй части операции Operation Bot Roast по борьбе с ботсетями. По результатам операции была названа сумма экономического ущерба, составившая более 20 млн. долларов, и выявлено более миллиона компьютеров-жертв.
Декабрь 2007. Киберпреступники взломали компьютеры департамента энергетики Национальной лаборатории Оак Риджа (ORNL), Теннесси, США. По имеющимся данным атаке подверглись также Национальная лаборатория в Лос Аламосе и Национальная лаборатория Лоуренса в Ливерморе, Калифорния. Были украдены более 12 000 номеров карт социального страхования и дат рождения посетителей ONRL за период с 1999 до 2004. Этот инцидент – из ряда проблем национальной безопасности, поскольку демонстрирует незащищенность отдельной личности в случае кражи идентификационных данных и финансового мошенничества.
Эти случаи – лишь вершина айсберга: сами потерпевшие и правоохранительные органы потрудились привлечь к ним внимание общественности. Но чаще всего организации, подвергшиеся атаке, сами проводят расследование, или этим занимаются правоохранительные органы – но без огласки. Результаты практически никогда не обнародуются. В диаграмме, взятой из отчета Института защиты информации в компьютерных системах, приведены причины, по которым организации предпочитают не сообщать о случаях компьютерного вторжения.
1.2 Принципы реализации атак
У каждого поколения преступников свои инструменты. Современные киберпреступники выбрали своим оружием троянские программы, с помощью которых они строят ботнеты для кражи паролей и конфиденциальной информации, проводят DoS атаки и шифруют данные, чтобы затем шантажировать своих жертв. Характерной и опасной чертой сегодняшних вредоносных программ является то, что они стремятся сохранить свое присутствие на инфицированной машине. Для достижения этой цели киберпреступники используют различные технологии.
В настоящее время некоторые преступники предпочитают проводить отдельные атаки, нацеленные на конкретные организации. Само по себе написание специальной программы для одной целевой атаки – задача трудоемкая, но важно еще обеспечить этой программе работоспособность на зараженном компьютере в течение долгого времени. Однако уж если эти целевые атаки удается запустить, успех им практически обеспечен: киберпреступники не только компенсируют себе все затраты на разработку и запуск атаки, но и получают солидную прибыль.
Современные киберпреступники для получения желаемого результата должны правильно организовать два важных момента: доставку и обеспечение работоспособности программы.
Первый шаг любого киберпреступления – доставка и установка вредоносной программы. Преступники используют несколько технологий для достижения этой цели. Основные современные способы распространения вредоносных программ (так называемые векторы заражения) – это спам-рассылки и зараженные веб-страницы. Идеальным для преступников является компьютер-жертва, который имеет уязвимость. Уязвимость позволяет преступникам установить вредоносную программу, как только она доставлена со спам-рассылкой, или с помощью так называемых технологий drive by download при посещении пользователем инфицированных интернет-сайтов.
Следующая задача киберпреступников после доставки вредоносной программы – как можно дольше сохранить ее необнаруженной. Вирусописатели используют несколько технологий для того, чтобы увеличить «срок службы» каждой части вредоносной программы.
Первостепенная стратегическая задача, стоящая перед любым вирусописателем, – сделать свою вредоносную программу невидимой не только для того, чтобы успешно ее доставить, но и для того, чтобы она «выжила». Чем менее видима программа для систем антивирусных радаров раннего оповещения, тем дольше ее можно будет использовать для получения доступа к зараженным компьютерам и сбора информации. Стандартные технологии сокрытия программы на компьютере включают применение руткитов, блокирование системы извещений об ошибках и окон предупреждений, выдаваемых антивирусом, сокрытие увеличения размеров файлов, использование множества разнообразных упаковщиков.
Во избежание обнаружения вредоносных программ вирусописатели широко используют технологию умышленного запутывания. Полиморфизм – одна из таких технологий, он был популярен в 90-х годах, но затем фактически исчез. Сегодня вирусописатели вернулись к полиморфизму, но они редко предпринимают попытки изменять код на компьютерах жертв. Вместо этого применяется так называемый «серверный полиморфизм» — изменение кода на веб-серверах с включением в него «пустых» инструкций, изменяющихся с течением времени, что существенно затрудняет обнаружение новых вредоносных программ, размещенных на веб-сервере.
Глава 2. «Троянского конь» в современных киберпреступлениях
2.1 Сущность и классификация троянских программ
Троянская программа (также — троя́н, троя́нец, троя́нский конь, тро́й) — программа, используемая злоумышленником для сбора информации, её разрушения или модификации, нарушения работоспособности компьютера или использования его ресурсов в неблаговидных целях. По принципу распространения и действия троян не является вирусом, так как не способен распространяться саморазмножением.
Троянская программа запускается пользователем вручную или автоматически — программой или частью операционной системы, выполняемой на компьютере-жертве (как модуль или служебная программа). Для этого файл программы (его название, иконку программы) называют служебным именем, маскируют под другую программу (например, установки другой программы), файл другого типа или просто дают привлекательное для запуска название, иконку и т. п.
Схожие вредоносные и маскировочные функции также используются компьютерными вирусами, но в отличие от них, троянские программы не умеют распространяться самостоятельно. Вместе с тем, троянская программа может быть модулем вируса.
Троянские программы различаются между собой по тем действиям, которые они производят на зараженном компьютере.
Backdoor — троянские утилиты удаленного администрирования
Утилиты скрытого управления позволяют делать с компьютером все, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т. д.
Trojan-PSW — воровство паролей
При запуске PSW-троянцы ищут сиcтемные файлы, хранящие различную конфиденциальную информацию (обычно номера телефонов и пароли доступа к интернету) и отсылают ее по указанному в коде «троянца» электронному адресу или адресам.
Trojan-Clicker — интернет-кликеры
Семейство троянских программ, основная функция которых — организация несанкционированных обращений к интернет-ресурсам.
Trojan-Downloader — доставка прочих вредоносных программ
Троянские программы этого класса предназначены для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки «троянцев» или рекламных систем.
Trojan-Dropper — инсталляторы прочих вредоносных программ
В результате использования программ данного класса хакеры достигают двух целей: скрытная инсталляция троянских программ и/или вирусов; защита от антивирусных программ, поскольку не все из них в состоянии проверить все компоненты внутри файлов этого типа.
Trojan-Proxy — троянские прокси-сервера
Семейство троянских программ, скрытно осуществляющих анонимный доступ к различным интернет-ресурсам. Обычно используются для рассылки спама.
Trojan-Spy — шпионские программы
Данные троянцы осуществляют электронный шпионаж за пользователем зараженного компьютера: вводимая с клавиатуры информация, снимки экрана, список активных приложений и действия пользователя с ними сохраняются в какой-либо файл на диске и периодически отправляются злоумышленнику.
Trojan-Notifier — оповещение об успешной атаке
Троянцы данного типа предназначены для сообщения своему «хозяину» о зараженном компьютере.
2.2 Основные тенденции развития троянских программ
В программах, относящихся к классу троянских, на сегодняшний день можно выделить следующие основные тенденции:
Значительный рост числа программ-шпионов, крадущих конфиденциальную банковскую информацию. Новые варианты подобных программ появляются десятками за неделю и отличаются большим разнообразием и принципами работы. Некоторые из них ограничиваются простым сбором всех вводимых с клавиатуры данных и отправкой их по электронной почте злоумышленнику. Наиболее мощные могут предоставлять автору полный контроль над зараженной машиной, отсылать мегабайты собранных данных на удаленные сервера, получать оттуда команды для дальнейшей работы.
Стремление к получению тотального контроля над зараженными компьютерами. Это выражается в объединении их в зомби-сети, управляемые из единого центра.
Использование зараженных машин для рассылки через них спама или организации атак.
Отдельного рассмотрения требуют такие классы программ, как Trojan-Dropper и Trojan-Downloader. Конечные цели у них абсолютно идентичны — установка на компьютер другой вредоносной программы, которая может быть как червем, так и «троянцем». Отличается только принцип их действия. «Дропперы» могут содержать в себе уже известную вредоносную программу или наоборот — устанавливать новую ее версию. Также «дропперы» могут устанавливать не одну, а сразу несколько вредоносных программ, принципиально отличающихся по поведению и даже написанных разными людьми.
Оба эти класса вредоносных программ используются для установки на компьютеры не только троянских программ, но и различных рекламных (advware) или порнографических (pornware) программ.
По итогам работы антивирусных служб в 2008 году зафиксировано 23 680 646 атак на российских пользователей, которые были успешно отражены.
Таблица 1.
Рейтинг троянских программ в 2008 году
№ п/п | Название | Количество | Процент |
1 | Heur.Trojan.Generic | 248857 | 7,08% |
2 | Trojan-Downloader.Win32.Small.aacq | 228539 | 6,50% |
3 | Trojan-Clicker.HTML.IFrame.wq | 177247 | 5,04% |
4 | Trojan-Downloader.SWF.Small.ev | 135035 | 3,84% |
5 | Trojan-Clicker.HTML.IFrame.yo | 121693 | 3,46% |
6 | Trojan-Downloader.HTML.IFrame.wf | 107093 | 3,05% |
7 | Trojan-Downloader.Win32.Small.abst | 78014 | 2,22% |
8 | Trojan-Downloader.JS.Agent.dau | 73777 | 2,10% |
9 | Trojan-Downloader.JS.IstBar.cx | 68078 | 1,94% |
10 | Trojan-GameThief.Win32.Magania.gen | 66136 | 1,88% |
11 | Trojan-Downloader.JS.Iframe.yv | 62334 | 1,77% |
12 | Trojan.HTML.Agent.ai | 60461 | 1,72% |
13 | Trojan-Downloader.JS.Agent.czf | 41995 | 1,20% |
Наиболее распространенной и активной вредоносной программой 2008 года является Trojan-Downloader.Win32.Small.aacq.
По итогам работы антивирусных служб в январе 2009 года мы сформировали главную вирусную двадцатку.
В этой таблице зафиксированы те вредоносные, рекламные и потенциально опасные программы, которые были детектированы на компьютерах пользователей.
Таблица 2.
Рейтинг вредоносных программ в январе 2009 года.
Позиция | Изменение позиции | Вредоносная программа |
1 | Virus.Win32.Sality.aa | |
2 | Packed.Win32.Krap.b | |
3 | 1 | Worm.Win32.AutoRun.dui |
4 | -1 | Trojan-Downloader.Win32.VB.eql |
5 | 3 | Trojan.Win32.Autoit.ci |
6 | Trojan-Downloader.WMA.GetCodec.c | |
7 | 2 | Packed.Win32.Black.a |
8 | -1 | Virus.Win32.Alman.b |
9 | 5 | Trojan.Win32.Obfuscated.gen |
10 | 10 | Trojan-Downloader.WMA.GetCodec.r |
11 | новинка | Exploit.JS.Agent.aak |
12 | -1 | Worm.Win32.Mabezat.b |
13 | -3 | Worm.Win32.AutoIt.ar |
14 | 1 | Email-Worm.Win32.Brontok.q |
15 | новинка | Virus.Win32.Sality.z |
16 | новинка | Net-Worm.Win32.Kido.ih |
17 | появление вновь | Trojan-Downloader.WMA.Wimad.n |
18 | -2 | Virus.Win32.VB.bu |
19 | -2 | Trojan.Win32.Agent.abt |
20 | новинка | Worm.Win32.AutoRun.vnq |
Появившиеся в декабрьском рейтинге Trojan.HTML.Agent.ai и Trojan-Downloader.JS.Agent.czm в этом месяце нашли себе замену в виде Exploit.JS.Agent.aak. Исчезнувшего из рейтинга червя AutoRun.eee заменяет теперь Worm.Win32.AutoRun.vnq. Это вполне закономерно, так как частые смены модификаций характерны для этих классов зловредных программ.
Выбывший из рейтинга в ноябре Trojan-Downloader.WMA.Wimad.n вернулся в игру. Таким образом, в рейтинге мы имеем сразу три нестандартных загрузчика, что свидетельствует о массовом распространении такого типа троянских программ и доверии пользователей файлам мультимедиа. Более того, схема распространения зловредных программ с использованием мультимедийных загрузчиков оказалась весьма эффективной. Это подтверждается скачком Trojan-Downloader.WMA.GetCodec.r сразу на 10 пунктов вверх.
ЗАКЛЮЧЕНИЕ
Скорее всего, мировой финансовый кризис никак не затронет игровую индустрию, и в 2009 году развитие игровых миров продолжится.
Атаки злоумышленников становятся все масштабнее и изощреннее. А действия игроков способствуют росту черного рынка виртуальных ценностей, на чем зарабатывают деньги хакеры и вирусописатели.
«Троянский конь» является наиболее опасной из всех вредоносных программ, поскольку:
Во-первых, кризис заставляет интернет-пользователей более нервно реагировать на любые события, связанные с платежными системами, онлайн-банкингом, электронными деньгами. В период, когда банки разоряются, меняют владельцев или испытывают проблемы с выплатами, появляется много новых возможностей для атак на пользователей.
Во-вторых, учитывая, что современные вредоносные программы требуют все больше ресурсов для их разработки, распространения и использования, для множества злоумышленников на первый план выходят более простые, дешевые и грубые методы атак. Троянские программы могут стать для киберпреступников одним из наиболее привлекательных решений.
Для того чтобы справиться с киберпреступностью, необходимо создавать и внедрять защитные стратегии. На самом деле программное обеспечение для борьбы с вредоносными программами и стратегии по управлению рисками важны на всех уровнях.
По моему мнению помимо соответствующих стратегий защиты успешная борьба с киберпреступностью требует совместных усилий. Должен действовать интернет-Интерпол, должна вестись постоянная разъяснительная работа, подобная той, которая ведется по поводу необходимости использовать ремни безопасности в автомобиле. Должны существовать правила, соблюдение которых будет обязательно при нахождении в интернете. Эти же правила должны поддерживать действия правоохранительных органов. Как и в случае с ремнями безопасности, требуется длительная и упорная воспитательная работа для того, чтобы пользователи осознали необходимость таких мер.
РЕКОМЕНДАЦИИ
Результаты данного исследования могут стать полезными всем пользователям персональных компьютеров, заботящихся о сохранности своих документов и об информационной безопасности.
Также их можно применить на уроках информатики, для ознакомления учеников с вредоносными программами. Важно еще со школы осознавать наносимый вред киберпреступлениями.
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
1. Фридланд А.Я. Информатика и компьютерные технологии: Основные термины: Толков. Слов.: Более 1000 базовых понятий и терминов. – 3-е изд. испр. и доп./ А.Я. Фридланд, Л.С. Ханамирова, И.А. Фридланд. – М.: ООО «Издательство Астрель», 2003. – 272 с.
2. Шафрин Ю.А. 1500 основных понятий, терминов и практических советов для пользователей персональным компьютером. – М.: Дрофа, 2001. – 272 с.
3. Первин Ю.А. Информатика дома и в школе. Книга для ученика. – СПб.: БХВ – Петербург, 2003. – 352 с.
4. Интернет сайт www.metod-kopilka.ru
5. Интернет сайт ru.wikipedia.org/wiki/троянские_программы
6. Интернет сайт www.viruslist.com/ru/analysis?pubid=204007644
7. Интернет сайт www.viruslist.com/ru/analysis?pubid=204007643
Приложение 1
Типовая архитектура системы выявления атак.
Приложение 2
www.ronl.ru