Чего боятся в сети?

Чуть ли не каждый день на различных новостных лентах проскакивают сообщения о том что найден новый вирус, червь или уязвимость. Большинство простых пользователей как-то не заморачиваются необходимостью защиты своего компьютера, от нехорошего воздействия из интернета. «Ну кому может понадобится мой компьютер! У меня даже никаких важных файлов нет! Зачем меня кому-то ломать?». Ну, ломать действительно врят-ли кто-то будет, хотя есть вероятность что этот кто-то захочет украсть пароль на выход в интернет и скачивать музыку (или что-нибудь другое) не за свой счет. Скорее можно попасть под эпидемию какого-нибудь червя, который распространяется сам по себе заползая на машину, через дыру в программном обеспечении. Классический пример – MSBlast, который вывел из строя довольно на довольно приличное время большие сегменты сети. Ещё Вы вполне можите получить троян только потому, что это покажется кому-то забавным. Если вы думаете что написать троян или вирус и отправить его к вам захочет очень не большое количество людей, а создать его смогут и подавно единицы, то Вы слегка заблуждаетесь. Милое такое заблуждение, тогда как на многих сайтах в сети можно скачать «исключительно для ознакомления» довольно большое количество соответствующего софта. В качестве примера могу привести горячо любимый мною, с тех пор как я его получил от какого-то доброжелателя по почте (хвала великому Касперскому, за то, что предупредил), троянец Pinch. Найти его можно за 5 -10 минут, а настроить и скомпилировать его сможет любой человек, у которого в доме есть англо-русский словарик и голова на плечах. Если не верите, то проверьте: поисковики к вашим услугам. Ну, как убедил, что есть чего, если не боятся, то опасаться в сети? Ведь лучше немного подстраховаться сразу, чем потом восстанавливать систему «с нуля», или думать, куда пропали деньги с диалапа, особенно когда подстраховка не потребует больших усилий.

Пару слов о заразе и как с ней борются антивирусы. Поговорим для начала об антивирусах. Да, да о тех самых, которые рекомендуют устанавливать всем, но которые устанавливают, хорошо если половина всех пользователей, и о которых ходит столь много разных легенд и преданий :). Самой известной из них, пожалуй, является то, что антивирус слишком сильно тормозит систему и по этому его использование не является оправданным.

Что ж. Это отчасти правильно. Но только от части. Мониторы некоторых антивирусов действительно тормозят систему. Это происходит в первую очередь потому что антивирус просматривает каждый запускаемый пользователем файл, прежде чем запускать его. Антивирус способен найти только те вирусы, которые есть в его вирусной базе. В вирусную базу заносятся, как правило, некоторые фрагменты кода вируса, по которым его можно отличить от безобидного программного обеспечения. Таким образом, снимаются так сказать «отпечатка пальцев» всех вирусов и пока антивирус не убедится в том, что на файле\программе нет ни одного из отпечатков имеющихся в базе вирусов, он не даст запустить программу. Новые вирусы (те, чьих отпечатков в базе нет) же можно найти только при помощи Эвристического анализатора кода. Он может помочь найти новые разновидности вирусов, которые отсутствуют в базе. Эта функция очень требовательна к ресурсам компьютера, и если вы можите позволить себе обновлять антивирусные базы хотя бы каждые 1-3 дня, то лучше эту функцию отключить, тем более что математически доказано то что всегда есть возможность подкорректировать вирус так, что его потом антивирус не заметит. В общем, я бы посоветовал бы каждую свою вылазку в интернет начинать именно с обновления баз.

Так. С тем как работают антивирусы, мы в общих чертах разобрались. Рассмотрим теперь, какие бывают вирусы. Я бы выделил следующие группы: макровирусы, файловые вирусы, загрузочные вирусы, троянцы и черви. Рассмотрим каждую группу в отдельности.

Макровирусы. Эти вирусы так названы не из-за того, что очень большие (макро... – греческая приставка обозначающая «большой»), а из за того, что написаны на языке макросов. Подвержены этим вирусам только офисные документы и как правило эти вирусы не отличаются особой разрушительность. Как правило, они просто коверкают результаты расчетов в таблицах, вставляют в документы какие-нибудь фразы или предложения. Избавится от них можно просто отключив макросы, тогда макровирусы не смогут функционировать. По моему мнению, не стоит сильно напрягаться, по поводу этих вирусов, если только вам не нужны макросы...

Далее идут файловые вирусы. Они являются исполняемыми файлами и прикрепляются к программам. Когда пользователь запускает программу запускается и вирус. Эти вирусы являются, как правило, либо просто розыгрышами, переворачивающими экран пользователя, (отключающими мышь и т.д.) или же делающие попытку порушить систему, отформатировать жёсткий диск и в общем всячески нагадить. Ввиду того, что они убивают систему, они не могут и дальше распространяться, поэтому эти вирусы сейчас уже почти вымерли.

Загрузочные вирусы, как и следует из названия, прописывают себя в загрузочную область диска. Находясь в загрузочной области диска они не дают загрузится операционной системе, убивая её загрузчик и вставляя вместо неё какую-нибудь милую фразу или картинку на своё усмотрение :).

Троянцы. Помните фильм «ТРОЯ»? Как несчастным троянцам впихнули на халяву красивую статуэтку лошади, напичканную злыми врагами. Вот, вот. Троянские программы двигаются в том же направлении. Попадая на компьютер, троянец может закрыть антивирус, просканировать жёсткий диск и собрать (как вариант уничтожить) файлы, которые интересуют его владельца, переписку по ICQ, почте, пароли на вход в операционную систему, почтовый ящик, кошелёк WebMobey, отправить всё это владельцу трояна, да ещё сделать кучу гадостей. Троянец не выдаёт своего присутствия на компьютере, и прописывает себя в автозагрузку, или добавляет себя в сервисы операционной системы. После выполнения своего чёрного дела он может само удалится, или же просто уничтожить все ваши файлы, операционную систему, и всё остальное, до чего сможет дотянутся. Разумеется эта ситуация врят ли кому нибудь может понравится, поэтому от троянцев надо держаться подальше. Далее мы ещё рассмотрим способы борьбы с ними.

Черви получили, пожалуй, самое большое распространение с появлением интернета. Эти вирусы проникают на компьютер через уязвимости в программном обеспечении, а попав туда начинают рассылать себя всем остальным компьютерам, с которыми контактирует этот, при условии если уязвимость у них не закрыта. Большинство червей считают святой целью своей жизни заразить все компьютеры, до которых смогут добраться, периодически сканируя для этих целей сеть, и атаковать какой нибудь сервер в сети. Чаще всего атакуют update.microsoft.com для того что бы никто не смог установить себе заплатку от этого червя. Хотя, впрочем, черви могут выполнять и что-нибудь, что свойственно троянам...

Махмуд, поджигай!!

Так вот, о чем бишь я? Ах, да, firewalls. Есть как программные, так и аппаратные реализации идеи файерволов, но мы пожалуй рассмотрим только программные. Задача хорошего файервола следить за всем входящим и исходящим трафиком с машины, следить, что бы никакая служба или программа не могла выйти в сеть, если ей это не дозволено. Запрещено, правилом. Вообще файерволы очень «правильные», ни на шаг не отступают от своих правил, которые создаёт пользователь. Каждому процессу либо разрешается делать в сети всё что заблогарасудится, либо разрешается работа толька с определенными портами, либо не разрешается ничего. Вот такая вот огненная стена вокруг машинки (а внутри ещё и антивирус всех нехороших мочит – красота!). Как можно было уже догадаться файервол не выпустит троянца, с Вашей машины, не даст червячку атаковать удалённый сервер, сообщит о том что к вам кто-то ломится, проводит DoS атаку, или сканирует порты. В данном случае злоумышленник скорее всего захочет выяснить какие адреса и программы являются легитимными и... допустим заставит своего троянца отправить разведданные от имени этой лигитимной программы, или попробует попасть на машину через разрешенной адрес. В конце концов можно отключить файервол, уничтожить, его или подделать свой IP, что бы файервол думал что злоумышленник хороший и его надо пропустить. Исходя из этого следует что стоит закрывать все порты, которые не используются, и вообще лучше руководствоваться правилом «запрещено всё что не разрешено», а не наоборот. Если оградить машину от атаки только с одной стороны, то её всегда можно взломать с другой. Не стоит об этом забывать. Файервол способен спасти от многих неприятностей только будучи правильно настроенным, иначе он легко станет игрушкой в руках хакера. Не пускайте в интернет те программы, которым это не нужно и которым вы не доверяете.

Отчего это не поможет...

Как бы не была хороша эта модель, она не убережет вас от многих других неприятностей: к примеру, если вы выходите в интернет через домашнюю сеть, то там велика вероятность сниффинга ваших данных, паролей к ICQ, почте, вашему сайту. Все передаваемые данные могут быть перехвачены. Эта проблема актуальна только в локальных сетях. Когда к машине приходит пакет с данными, она по идее должна прочитать адрес получателя и, если этот получатель – не она, отправить пакет дальше. Но не сложно заставить сетевую карту получать абсолютно все пакеты, и отфильтровывать из них, допустим, только пакеты с паролями. От сниффинга нет универсального лекарства и скорее всего вам поможет только криптография, но об этом поговорим в другой раз. Помимо сниффинга у вас могут украсть cookies. Казалось бы, в этом нет ничего страшного, но если вы ставите галочку «запомнить пароль» на форумах, почте и у своего провайдера, то злоумышленник быстренько получит все эти пароли. Лучше всего эти галочки не ставить. Иначе ведь действительно ваши данные могут быть «доступны третьим лицам». Отсюда мораль: не доверяйте подозрительным сайтам со скриптами. Многие файерволы и браузеры умеют блокировать или предупреждать пользователя о наличии скриптов на сайтах, и спрашивать блокировать ли их. Эту опцию лучше включить. Список возможных способов получить ваши данные можно продолжить почти до бесконечности, но многие из них были бы основаны на уязвимостях програмного обеспечения, так что постарайтесь устанавливать заплатки как можно быстрее.

Welcome to internet.

А ещё не стоит забывать о социальной инженерии. Если бы ко мне в ась ку постучалась симпатичная девушка, и через 7 минут разговора отправила мне «свою фотографию» с расширением .exe и троянцем внутри, то я бы скорее всего тут же скопировал бы её IP, и запустил бы nmap :)... А ведь многие запускают... А потом думают куда все деньги с диалапа делись... Ведь целых 50 $ было. Люди очень доверчивые существа. Честное слово. Ну а за сим я попрощаюсь и пожелаю вам наиболее эффективно использовать эту замечательную связку из файервола и антивируса. Если Вы всё правильно сконфигурируете, то этим чудовищно усложните задачу взломщика.


Эта статья прочитана 5858 раз.