Безопасность в сети

Обмен понравившимися ссылками, работа сетевых сервисов и всё о глобальной паутине
Аватара пользователя

Автор темы
BEST_XP
Administrator
Administrator
Сообщения: 1189
Зарегистрирован: Октябрь 2008
Репутация: 530
Пол: Мужской
Благодарил (а): 138 раз
Поблагодарили: 6039 раз

Безопасность в сети

#1

Сообщение BEST_XP » 11 янв 2009, 19:32

В этой теме будут публиковаться статьи о безопасности в сети для новичков. Различные обзоры, обсуждение тех или иных способов скрыть и обезопасить себя от различной опасности в глобальной сети интернет.


Максимальная анонимность


В данной статье расскажу о том,
как можно организовать максимальную анонимность в Интернете.

Буду писать коротко, но ясно.

И так, какие всё таки самые элементарные правила нужно соблюдать для обеспечения максимальной анонимности?!

1.) Забудьте про Internet Explorer.
2.) Пользуйтесь либо Opera, либо Mozilla Firefox.
3.) Не берите из Интернета первые попавшиеся прокси.
4.) Забудьте про свою лень.
5.) Не регистрируйтесь на сайтах,
посещать которые в будущем Вы не собираетесь.

Теперь объясню почему нужно соблюдать правила описанные в вышеуказанных пунктах.

Я не анти-фанат компании Майкрософт, Бил Гейтс внёс довольно большой вклад
в развитие информационных технологий и не только в них.
Internet Explorer предназначен исключительно для простых пользователей,
для сёрфинга он не подходит. Использовать Internet Explorer крайне не рекомендую, по крайней мере на момент написания этой статьи.

Пользоваться Opera или Mozilla Firefox нужно для того,
чтобы запретить отправку лишних логов на посещаемый Вами сервер.
Советую всё таки использовать Mozilla Firefox.

Не берите прокси которые нашли на каком нибудь левом сайте.
Если установить в настройках обозревателя прокси,
который принадлежит спец-службам - считайте что Вы уже под колпаком.

Никогда не ленитесь и будьте терпеливы.

Не желательно регистрироваться на сайтах, посещение которых в дальнейшем Вы не намечаете, лишний раз светится ни к чему.

И наконец завершающая стадия статьи, собственно цель которой было донести до Вас информацию описанную ниже.

Метод создания максимальной анонимности в Интернете через настольный компьютер довольно прост.

Первое что нужно сделать - это скачать Mozilla Firefox, в настройках обозревателя отключить Java, JavaScript, cookies и графику.
Таким образом сервер который Вы посетите получит только Ваш ip и версию операционной системы, разрешение экрана и другие логи к нему не поступят.
Отключать графику и cookies не обязательно, но без графики страницы через прокси будут грузится быстрее. А cookies желательно отключить для запрета попадания логов к Вам на компьютер, думаю компромат на своей машине хранить Вам не захочется.

Теперь установите себе программу Mask Surf Standard,
запустите её и настройте все параметры на максимальную анонимность.
То-есть в меню "Маскировка" установите галочки на пунктах "Невидимый".
В меню "Режим" выберите пункт "Максимальная анонимность".
Это и всё что нужно было проделать. Теперь можете спокойно проверять себя на анонимность.

Если Вы проделаете всё что я описал - на сервер не будет поступать не каких логов, кроме прокси, но Mask Surf Standard работает через цепь прокси-серверов которые отследить довольно проблематично (это не значит, что невозможно) и Вам не нужно искать их по Интернету, потому что они определяются автоматически, каждые 30 минут у Вас будет новый прокси.
Всё это естественно спецслужбами довольно просто отслеживается и если Вы ставите серьёзные задачи, то это не поможет.

Ходят слухи что в сети нету 100% анонимности и многие в это верят.
Скажу так, в сети есть всё, стоит только подумать.

Берите ноутбук и левую симку, езжайте в лес и делайте то, что хотели.
Если в летнее время с 8 утра до 8 вечера Вы побудете в лесу - ничего с
Вами не случится, всё таки куда лучше чем потом на зоне время убивать.

Предположим приехали Вы в лес, настроили все параметры своего ноутбука, выходите в сеть с левой симки и делаете свои чёрные дела.
За день Вас никто не надёт, но то что задумали - сделать наверняка успеете.
Когда будете уходить из леса, не вздумайте брать симку с собой домой - выкиньте её на месте и забудьте. Её местонахождение определят с точностью до 10 метров. Ноутбук не везите в открытую, прячьте его в какую нибудь сумку как у бабушек чтобы не вызывать подозрения. Сделайте просто вид, что Вы обычный колхозник.

Этого достаточно для организации максимальной анонимности.



Аватара пользователя

Автор темы
BEST_XP
Administrator
Administrator
Сообщения: 1189
Зарегистрирован: Октябрь 2008
Репутация: 530
Пол: Мужской
Благодарил (а): 138 раз
Поблагодарили: 6039 раз

Re: Безопасность в сети

#2

Сообщение BEST_XP » 11 янв 2009, 20:06

Про трояны новичкам


Бойтесь данайцев, дары приносящих
Трояны: виды, принципы работы, защита

Редкий человек, имеющий отношение к IT, не сталкивался с троянами. По идее, уже давно пора бы перестать вестись на трюки, вроде HotPics.jpg.....exe, ан нет, запускаем "патчи для Эксплорера" и "плагины для Винампа", не говоря уже о "крякерах интернета". Надоело. Читай мануал и будь во всеоружии.

Знаешь, сколько видов живых существ обитает на Земле? Я тоже не знаю, но уверен, что много. Тем не менее, биологи сумели разделить все это многообразие всего на пять царств (кстати, одно из них - вирусы). Правда, царства, в свою очередь, делятся на подцарства, подцарства - на типы, типы - на классы и т.д. Получается довольно сложная система. Электронных форм жизни, естественно, гораздо меньше, но классификация их по сложности не уступает той, что принята у биологов. Удивлен? Конечно, для пользователя AOL есть только два типа программ: вирусы и не-вирусы :) , обычный юзер знает еще значение слова "троян", и только уж совсем продвинутые товарищи знакомы с таким понятием, как "червь". Но знаешь ли ты, какую классификацию используют антивирусники? Типичное описание вируса выглядит примерно так: SamiiKrutoiVirus.Вирус.Win32.PE-инфектор.полиморфный(олигоморфный). Впечатляет? Если нет, добавь сюда имя автора (если оно известно), дату появления в Сети, степень опасности etc.

Знаешь, какую ошибку совершил Карл Линней, когда пытался разделить растения на несколько классов? Он объединял их не по строению, а по внешнему виду: тут цветы с пятью тычинками, тут - с четырьмя и т.д. Хм, что-то я в биологию ударился :) . Ну, да ладно. Современная же наука делит живой мир на группы, исходя из внутреннего строения существ. Но если рассуждать подобным образом о цифровых формах жизни, возникают некоторые проблемы, так как с точки зрения пользователя, т.е. по внешнему виду, все эти формы одинаковы и имеют вид исполняемых файлов. А классифицируя электронные сущности по внутреннему строению, получим показанную выше систему антивирусников, которая не отличается наглядностью и довольно неудобна. Поэтому мы будем по старинке делить фауну Сети всего на три группы - вирусы, черви и трояны. Но прежде чем приступать к подробному рассмотрению последних, разберемся в отличиях этих форм жизни друг от друга.

Развернуть Вирус, червь или троян?:


Развернуть Мейлеры:


Развернуть Бэкдоры:


Развернуть Еще один тип:


Развернуть Как не встрять?:


Но что делать человеку, который все-таки запустил "патч для Аутлука"? Или тому, кто раскусил подставу и хочет добраться до хозяина? Читать дальше.

Развернуть Вскрытие:


Развернуть Ich bin trojan:


Развернуть BO2K:


Развернуть Нае@и соседа:


Развернуть Anti-Lamer Light:


Развернуть FurierTrojan:


Короче говоря, не наш выбор.

Развернуть GROB:


Знаешь, зачем я добавил к статье этот краткий обзор? Чтобы ты уловил общее состояние "рынка троянов" на сегодня. Что мы видим: новых бэкдоров практически нет, защиты не хватает даже на то, чтобы качественно спрятать свой процесс, повсюду низкосортные почтовые трояны, фантазия авторов ограничивается выведением окошка "data.cab not found". Но в постоянном появлении новых троянов, пусть и низкопробных, есть свои плюсы. Помнишь, что я говорил о BackOrifice? При том, что технически это самый хороший бэкдор из существующих, использовать его сегодня, по меньшей мере, глупо. В то же время, примитивный троян, вышедший неделю назад, и поэтому еще не занесенный в базы антивирусов, будет гораздо эффективнее могучего BO2K. В качестве "золотой середины" можно посоветовать использовать такие экземпляры, как DonaldDick или NetSphere, которые являются промежуточным звеном между элитными, но слишком распространенными троянами и малоизвестными низкосортными.
Развернуть Поддержать проект

Чтобы поблагодарить за сообщение, нажмите кнопку Изображение, чтобы повысить репутацию, нажмите Изображение

Аватара пользователя

Автор темы
BEST_XP
Administrator
Administrator
Сообщения: 1189
Зарегистрирован: Октябрь 2008
Репутация: 530
Пол: Мужской
Благодарил (а): 138 раз
Поблагодарили: 6039 раз

Re: Безопасность в сети

#3

Сообщение BEST_XP » 11 янв 2009, 20:07

Идеально защищенная система


Сразу хочу сказать, что такой не бывает.
Но, тем не менее, сейчас подскажу вам свое скромное мнение как достичь относительного спокойствия,
относительно тех данных, что у вас хранятся. Речь пойдет не о сетевой,
а о локальной безопасности на платформе Windows. Какая именно Windows не важно,
уверяю вас (ну конечно, исключая Windows 3.1). Почему?
Потому что ломать ваши пароли на XP или Windows 2000 (а в 9-x это не имеет смысла),
разумеется, черные пиджаки не будут. И конкуренты тоже. Черные пиджаки,
тупо снимут винт и сделают себе полный доступ (это если у вас система NTFS),
а конкуренты могут либо подкинуть инсайдера (внедренный сотрудник),
либо программу шпиона (троян по нашему), либо опять таки тупо выкрасть винты.
Я знаю случай когда темные людишки ровно за 9 минут выпилили кусок пола, поснимали винты с сервера и исчезли.
Вариант с MS Windows альтернативный все таки есть, это встроенное шифрование данных (имеется в виду XP и 2000),
но прикол весь в том, что шифрование все строится на уникальном ID пользователя,
то есть при переустановке Windows вы хрен их потом раскриптуете.
Тут вы можете со мной спорить, или доказывать что-то, и я вас не буду переубеждать,
я встроенным шифрованием никогда не пользовался и знания имею лишь поверхностные.
Итак собственно мои соображения по этому поводу.

Политика безопасности начинается с самого начала установки Windows.
Перво-наперво сделайте низкоуровневое форматирование винчестера перед установкой.
Так как на винте могут остаться ваши предыдущие грешки, которые легко поднимаются (например программой Easy recovery).

Теперь, после установки Windows, создаем диск в памяти и переносим все темпа на него.
Зачем это нужно? Во время открытия любого архива, при любой инсталляции, и даже при получении почты ,
Windows записывает файлы во временные папки. Поэтому оттуда можно поднять очччень много всего интересного.
А при размещении виртуального диска в планке памяти вашего компа, все темпа затереть очень просто - выключить компьютер.
Поднять оттуда данные возможно, если сдампить память на специальном устройстве.
Но для этого надо эту планку памяти забрать с собой, знать что на ней могут быть расположены какие то данные,
и разумеется не умудриться включить компьютер, при этом все будет затерто (абсурд, если не читать эту статью до этого).
Этим я думаю черные пиджаки заниматься не будут. Как это сделать?
Качаем отсюда http://www.superspeed.com RAMDISK XP PRO (работает только под XP)
либо с Microsoft Download программу RAMDISK (ограничение размера диска 32Mb).
При использовании RAMDISK от Microsoft вы можете столкнуться с трудностями при распаковке архивов больше 32 Мб,
а такие есть, разумеется. Поэтому советую RAMDISK XP PRO, или подобные программы ("RAMDRIVE" в поисковой строке Yandex).
Если вы пытаетесь это сделать на уже установленной Windows, тогда обязательно, после переноса темпов,
сделайте Wipe free space. Эта процедура забивает нулями все свободное место на диске,
то есть после нее поднять что-либо что было до этого, уже невозможно.
Для этого нам понадобиться программа PGP (Pretty Good Privacy). Взять соответственно на http://www.pgp.com.
Она же пригодиться для создания виртуального диска, для хранения всей информации,
не предназначенной для чужих глаз (черных пиджаков, конкурентов, начальства, любовницы, etc).
Подробнее в User Manual по PGP. Чем она лучше подобных программ (например Steganos Security Suite)?
Первое - изначально она писалась как Freeware , исходники к ней доступны и сегодня.
Это значит (несмотря на слухи), что никаких черных дыр для правительства в ней нет.
Второе - PGP создает собственный драйвер клавиатуры, поэтому всякие keylogger-ы и шпионы пароль не перехватят.
В третьих, даже окна для ввода пароля программа генерирует свои,
чем это лучше объясню на примере - Есть программа DOP (Display of passwords) она показывает пароли скрытые звездочками,
так вот в Steganos она пароли вскрывает, а PGP конечно же нет.
В четвертых - ни разу я лично не находил в интернете, что существуют баги и дыры в PGP, речь идет о pgp-дисках.
Когда-то была фишка с сообщениями через Outlook Express, но ее быстро залатали, а обновления выходят постоянно.
Как совет - Pgp диск лучше создать один, но большой. Положить его не на системный винт и обозвать pagefile.sys.
Теперь на него внимания мало кто обратит. Потому как файл подкачки можно создать на любом винте и любого размера.

Теоретически его взломать можно. Но сколько на это понадобиться времени?
А это я вам скажу не год и не два и не пять. За это время информация безнадежно устареет (не для любовницы конечно).

Теперь защита от шпионов. Само собой это файервол.
Какой именно выбирайте сами, я лично обеими руками за Outpost.
Писали наши, цена смешная, работает 100%. Это защитит от троянов. Ну и конечно антивирус.


Развернуть
Поддержать проект




Чтобы поблагодарить за сообщение, нажмите кнопку Изображение, чтобы повысить репутацию, нажмите Изображение

Аватара пользователя

Автор темы
BEST_XP
Administrator
Administrator
Сообщения: 1189
Зарегистрирован: Октябрь 2008
Репутация: 530
Пол: Мужской
Благодарил (а): 138 раз
Поблагодарили: 6039 раз

Re: Безопасность в сети

#4

Сообщение BEST_XP » 11 янв 2009, 20:20

Безопасность Windows в Интернет


В настоящее время стало очень модно полагать, что опеpационные системы Windows NT и Windows 95 имеют кучу ошибок в защите пpи pаботе в IP сетях, и практически не закрывают доступ к машине.
Эта статья пpедставляет из себя попытку обьяснить доступным языком чего все-таки следует опасаться, а чего нет. Рассчитана статья на гpамотных пользователей, но может быть навеpное полезной и системным администpатоpам. По тексту статьи под Windows понимаются Windows NT и Windows 95. Пpактически все нижесказанное относится к обеим системам в pавной степени.

Итак, что пpедставляет непосpедственную опасность:

Hаиболее опасными мне пpедставляются дыpки имеющие место быть в WWW бpаузеpах. В самых pаспpостpаненных: Internet Explorer и Netscape Navigator.
Эти ошибки опасны потому, что жеpтвой их можно стать совеpшенно случайно, пpосто зайдя на сайт, где кто-нибудь заложил нечто дестpуктивное. Конечно, можно ходить только на сайты кpупных
надежных компаний, но вpяд ли кто-нибудь пpенебpегал возможностью пpосто свободного скольжения по сети, от ссылки к ссылке.

Очень сеpьезная ошибка имеется в Internet Explorer веpсии 3.00 и 3.01. Cуть ее в следующем: к вам может быть пеpекачан из сети файл с pасшиpением.url или.lnk и выполнен на вашем компьютеpе,
пpичем сделано это может быть совеpшенно незаметно для вас. Понятно, что содеpжание этих файлов зависит, только от настpоения злоумышленника. Теоpетически возможна, полная потеpя вашей инфоpмации. Поэтому всем пользователям указанных веpсий настоятельно pекомендуется немедленно пpекpатить использовать указанные веpсии IE и пеpейти на IE 3.02 или более новый, хотя доступен и fix.

Хотя IE 3.02 тоже не абсолютно безопасен. Шиpоко известна дыpка основаная на связке PowerPoint и Internet Explorer. Cуть ее в следующем: документы PowerPoint способны выполнять внешние команды, а IE способен отобpажать PowerPoint-овские документы как встpоенные обьекты. Cоответственно, пpи установленном PowerPoint возможно выполнение каких-либо внешних команд автоматически, пpосто пpи пpосмотpе стpаницы содеpжащей документ PP. Fix доступен здесь

Тепеpь остановимся на дыpках, специфичных для Netscape Navigator. Достаточно шиpоко стала известна ошибка найденная одним датским пpогpаммистом. Она позволяет получить ваши локальные файлы во
вpемя вашего доступа к сайту. Технически все это выполняется чеpез фоpмы в невидимом окне, заполняемые содеpжимым локальных файлов и посылаемыми в сеть. Фиpма Netscape а также многочисленная аpмия любителей pугать Microsoft и не замечать пpоблем в пpодуктах дpугих пpоизводителей пpеуменьшают опасность мотивиpуя это тем, что необходимо знать полный путь до того файла, котоpый хочешь утащить, а пеpекачка pаспpостpаненных файлов типа autoexec.bat не имеет никакого смысла. Hу что же, давайте пофантазиpуем: много людей используют Windows 95; большинство из них ставит ее на диск C; много людей используют dial-up scripting tools; достаточно шиpоко pаспpостpанена пpактика когда в стандаpтном скpипте pppmenu.scp явным текстом пpописывается логин и паpоль к своему пpовайдеpу. Если сооpудить пpивлекательный сайт - эpотику какую-нибудь) , да pазместить его в большом гоpоде, то скоpее всего за dial-up платить самому уже не пpидется никогда. И это только пеpвый пpишедший мне в голову ваpиант использования этой "безвpедной" ошибки Netscape.


Gовоpить об ошибках имеющихся в IE 5.5 и Netscape Communicator сейчас несколько пpеждевpеменно, поскольку доступные веpсии имеют статус бета-пpодукта. Хотя некотоpый пpогноз сделать можно. В IE будут находить все новые дыpки, идущие от интегpации IE с опеpационной системой. В пpодуктах Netscape дыpок будет значительно меньше, но поскольку, ввиду все большего захвата pынка бpаузеpов фиpмой Microsoft, число пользователей Netscape будет уменьшаться, то чеpез некотоpое вpемя наличие или отсутствие дыp в NetcapeNavigator, Communicator и "что-то там еще потом будет" будет не столь важно.

Тепеpь давайте поговоpим об опасностях идущих не от ошибок, а от новых "пеpспективных" технологий, конечно же делающих web стpанички пpивлекательней и, возможно, опасней.

Развернуть Java:


Развернуть ActiveX:


Развернуть JavaScript:


Развернуть Атаки на всевозможные пpиложения:


Развернуть Метод дивеpсии IISSlayer:


Конечно можно описывать еще много способов дивеpсий для Windows систем и отдельных пpиложений (типа известной, но некpитической ошибке NetscapeMail, позволяющей получить кому-либо копию вашего
майлбокса), но самые опасные из шиpоко pаспpостpаненных дыpок уже освещены. И если вы защитились от всего вышепеpечисленного, то можно считать, что пpичинить вам вpед будет не очень легко. Хотя
конечно всегда останутся методы гpубой силы типа пингования гpомадными пакетами или SYN flood, котоpыми можно заваливать любую интеpнет машину или подсеть, независимо от конфигуpации.

Также неизвестно какие вновь найденные ошибки в популяpных пpогpаммах готовит нам будущее. За пpеделами этой статьи остались вопpосы безопасности в Windows касающиеся всевозможных способов
взлома и незаконного получения пpав доступа, заслуживающие отдельной большой статьи. Также здесь опущены общие вопpосы безопасности в Internet, заслуживающие не статьти, а хоpошей
моногpафии.

В заключение хочется опpовеpгнуть бытующее мнение, что в ОC семейства Windows и всевозможных пpиложениях для этих ОC содеpжится очень много ошибок (хотя вpоде бы сам дух статьи говоpит о дpугом). Да, ошибки есть, но где их нет ? Значительно важнее то, что все кpитические ошибки очень быстpо испpавляются. Так для WinNuke и IISSlayer (знаменитые убийцы http://www.microsoft.com)
fix становился доступен в течении 2 суток. Если такой уpовень сеpвиса останется и в будущем, то конкуpентов у Windows платфоpмы в Internet попpосту не будет. Hа этой оптимистической ноте позволю себе завеpшить эту статью и без того достаточно длинную.
http://bonapart.narod.ru


Развернуть
Поддержать проект




Чтобы поблагодарить за сообщение, нажмите кнопку Изображение, чтобы повысить репутацию, нажмите Изображение

Аватара пользователя

Автор темы
BEST_XP
Administrator
Administrator
Сообщения: 1189
Зарегистрирован: Октябрь 2008
Репутация: 530
Пол: Мужской
Благодарил (а): 138 раз
Поблагодарили: 6039 раз

Re: Безопасность в сети

#5

Сообщение BEST_XP » 11 янв 2009, 20:23

Маленькие неприятности

Свершилось. Ваш новый модем, издавая сумасшедшие звуки, неоднозначно воспринимаемые окружающими, выводит вас в Internet... Вы уже научились "лазить" по сети и искать то, что вам интересно (иначе вы не читали бы эту страничку), но что-то вас постоянно тревожит... А вокруг все говорят о хакерах... Стоит ли вам их бояться? Или, может, надо бояться кого-то еще?


Для этого нужно ответить на простой вопрос - кто может получить выгоду, "проникнув" в ваш компьютер. Не мните о себе слишком много. Настоящему хакеру вы не интересны. Вряд ли ваш компьютер содержит информацию, которую можно продать за деньги, и вряд ли "взлом" вашего компьютера принесет ему известность или новые знания... Но все-таки у вас наверняка есть что-то ценное. Например, пароль для выхода в Internet. Вот на него-то точно найдутся желающие поохотиться. На " гордое" звание хакера эти граждане не тянут, но неприятности вам доставить могут. Как? Способов много.

Изображение


Наиболее распространенный способ охоты за чужими паролями - это программа-троянец. То есть программа, которая не посоветовавшись с вами сделает что-то, что вам будет крайне неприятно. Например, вышлет ваш пароль по электронной почте. И не только пароль на доступ к Internet, но и пароли на электронную почту, ICQ и странички, куда вы входили, указывая свой пароль. Обидно, да? Откуда эта программа взялась на вашем компьютере и почему она запустилась? Скорее всего, вы сами скачали ее и сами установили. Например, вам сказали, что эта программа увеличит скорость вашей работы в Internet в 2 раза. Или вам вообще сказали, что это и не программа вовсе, а фотография. Красивой девушки, например. А вы не обратили внимание, что фотография почему-то называется " girl007.jpg .exe" (да-да, в Windows возможны такие названия). Может быть замаскирована программа под "игрушку", прайс-лист, резюме... Или вы можете получить письмо от якобы службы технической поддержки Microsoft с прикрепленным обновлением Windows. В общем, все, что угодно, лишь бы заставить вас "запустить" себя.

Развернуть Что делать?:


Развернуть Что же делать, если в ваш компьютер все-таки влезли?:


Развернуть
Поддержать проект




Чтобы поблагодарить за сообщение, нажмите кнопку Изображение, чтобы повысить репутацию, нажмите Изображение

Аватара пользователя

Автор темы
BEST_XP
Administrator
Administrator
Сообщения: 1189
Зарегистрирован: Октябрь 2008
Репутация: 530
Пол: Мужской
Благодарил (а): 138 раз
Поблагодарили: 6039 раз

Re: Безопасность в сети

#6

Сообщение BEST_XP » 12 янв 2009, 11:37

Вирусы в Internet: это должен знать каждый


Сеть Internet поистине огромна. Ежедневно в мире отсылается более 250 млн. сообщений по электронной почте и загружается на диски пользователей около миллиона файлов. Но с недавнего времени Internet, к сожалению, стала одним из основных путей распространения компьютерных вирусов. По этой причине сплошь и рядом возникают панические страхи. Насколько они оправданы?

Несомненно, любой из нас хотя бы раз в жизни получал письмо такого содержания: "Здравствуйте! Меня зовут Джон Смит, и я работаю в корпорации Microsoft (варианты -- IBM, Intel, "Лаборатория Касперского" и т. д. ). Недавно мы обнаружили новый вирус, который самораспространяется по Internet в виде электронного письма, озаглавленного "Hello!". Если вам придет подобное сообщение, немедленно удалите его, не читая, так как если вы его откроете, то вирус уничтожит все важные файлы на вашем компьютере, добавит ругательные слова в документы Word, а впоследствии заботливо отформатирует диск С:. Спасибо за внимание, Джон Смит".

Что и говорить, такое сообщение способно ввергнуть в панику даже опытных пользователей, ведь об Internet, как о среде передачи опасных вирусов, слышали все, а электронная почта, казалось бы, является наиболее удобным средством для их распространения. Вот и начинает горемыка-пользователь с ужасом вчитываться в темы всех полученных писем, проверять папку, содержащую файлы электронной почты на наличие вирусов, а в особо тяжелых случаях -- рассылать вышеприведенный дружеский совет от Джона Смита всем своим друзьям.

Каждому из нас наверняка хотя бы раз в жизни приходилось получать письмо следующего содержания: "Здравствуйте! Меня зовут Джон Смит, и я работаю в компании, занимающейся антивирусными программами. Недавно мы обнаружили новый вирус..."

Мы, естественно, не будем утверждать, что Internet полностью безопасна в отношении вирусов. Однако для определения истинных масштабов возможной трагедии следует разобраться в этом вопросе, чтобы отличать правду от домыслов.

Развернуть Как распространяются вирусы в Internet?:


Развернуть World Wide Web:


Еще одна разновидность вредоносных программ, весьма распространенных в Internet, -- это "троянские кони", или "троянцы". Они не являются вирусами в строгом понимании этого слова, но распространяются в Сети упомянутыми выше способами и тоже способны нанести материальный ущерб. Так уж сложилось, что практически ни один разговор о компьютерных вирусах не обходится без упоминания о "троянцах".

Развернуть Троянский конь:


Чтобы при работе в Internet избежать неприятностей, связанных с вирусами и "троянскими конями", запомните и выполняйте следующие основные правила:

загружайте файлы лишь с надежных сайтов, а также всегда старайтесь установить наивысший уровень безопасности в броузере.
Замечание: учтите, что использование высокого уровня безопасности, исключает содержимое Интернета, являющееся, по мнению браузера, опасным. Иными словами, если друг дал вам адрес его домашней странички, а она у вас не грузится - это еще не означает, что у вас плохая связь или станичка не работает,вполне возможно, что браузер, посчитал содержание этой странички потенциально опасным, и исключил к ней доступ.

Развернуть E-mail:


Развернуть ICQ:


Вместо заключения

Итак, безопасность в Internet -- дело рук самих пользователей. Поэтому каждый из нас обязан всерьез заняться этими вопросами, так как иногда печальные исходы вызваны не столько низким качеством антивирусного программного обеспечения, сколько непрофессионализмом или беспечностью самого пользователя. В этой статье мы попытались развенчать устоявшиеся мифы о вирусах в Internet, а также описать реальные пути и каналы заражения вашего компьютера из Сети. Надеемся, что теперь картина причин возможных проблем и путей их решения для вас более ясна.


Развернуть
Поддержать проект




Чтобы поблагодарить за сообщение, нажмите кнопку Изображение, чтобы повысить репутацию, нажмите Изображение

Аватара пользователя

Автор темы
BEST_XP
Administrator
Administrator
Сообщения: 1189
Зарегистрирован: Октябрь 2008
Репутация: 530
Пол: Мужской
Благодарил (а): 138 раз
Поблагодарили: 6039 раз

Re: Безопасность в сети

#7

Сообщение BEST_XP » 12 янв 2009, 11:38

Что такое Firewall


С системой портов тесно связана такая система защиты, как Firewall - программа, которая обеспечивает санкционированность всей информации, приходящей или уходящей с компьютера. К примеру, при отправке почты используется порт 25, а при получении - порт 110. С этими портами работает почтовая программа. Если же какая-нибудь другая программа - например, вирус-"троян" - попытается запросить этот порт, то Firewall не даст ей это сделать (в принципе, "трояну" ничего не стоит замаскироваться под почтовую программу, но это сложнее - прим. ред.). Кроме того, Firewall вообще не позволяет осуществлять связь с удаленным компьютером, если это не разрешено пользователем. Перед началом использования программы необходимо произвести ее настройку - указать номеров портов, через которые может идти обмен данных, и программ, которые с этими портами работают. В современных "файерволлах" настройка может проходить и автоматически.

Иными словами, если с компьютера отправляется пакет данных, то Firewall посмотрит, какая программа его отправляет, по какому порту, и на какой порт. Обеспечение информационной безопасности и защита от проникновения "извне" также тесно связаны с управлением системой портов. На компьютере постоянно запущено множество программ. И не исключено, что при обращении к какому-либо порту некая программа возьмет и ответит на запрос, да еще и проигнорировав положенную авторизацию доступа. Это так называемая "дыра" - за что программистов обычно нещадно ругают. В другом случае, операционная система, принимая данные по какому-либо порту, может попросту "повиснуть" - опять-таки из-за ошибки в своем программном коде. Так, до появления Service Pack 3 для Windows NT, пакеты, адресованные на 139 порт компьютера с этой операционной системой, приводили либо к перезагрузке ОС, либо к ее "зависанию" (кстати, "дыры" могут появляться и по иным причинам - не только из-за системы портов, просто "дыра через порт" - самый распространенный вариант).

Порты компьютера можно просканировать - то есть послать ему пакеты данных, адресованные на все порты подряд, и ждать ответа хоть от какого-нибудь из них. Если отклик есть, значит, с этим портом можно попробовать "договориться" - в частности, заставить программу, которая им заведует, работать в своих целях. "Прослушать" порты можно, например, с помощью программы Internet Maniac. С такого сканирования и поиска "дыр" в программном обеспечении обычно начинается любая хакерская атака, поэтому многие провайдеры, банковские системы и другие большие сетевые представительства отслеживают подобные действия и принимают адекватные меры в адрес того, кто это делает.

Вот так сканируются порты. Это пример - а при настоящей хакерской атаке можно было бы и "дыру" отловить, да и самому попасться - зависит от опыта обоих сторон.

Использование Firewall позволяет в определенной степени свести "на нет" риск от несанкционированного сканирования портов. Эта программа не дает возможности получить с портов, не входящих в список разрешенных, какой-либо ответ, так как вообще не пропускает к ним подобного рода запросы. Но Firewall не сможет помочь, если атака ведется с помощью вполне законного доступа - скажем, в вашей почте окажется письмо, содержащее вирус.
http://www.bonapart.narod.ru


Развернуть
Поддержать проект




Чтобы поблагодарить за сообщение, нажмите кнопку Изображение, чтобы повысить репутацию, нажмите Изображение

Аватара пользователя

Автор темы
BEST_XP
Administrator
Administrator
Сообщения: 1189
Зарегистрирован: Октябрь 2008
Репутация: 530
Пол: Мужской
Благодарил (а): 138 раз
Поблагодарили: 6039 раз

Re: Безопасность в сети

#8

Сообщение BEST_XP » 12 янв 2009, 11:39

Что такое proxy?
Краткий FAQ:

Proxy (в переводе с английского "представитель") - это промежуточный компьютер, который является посредником между Вашим компьютером и web-серверами. При использовании proxy Ваш компьютер не обращается к web-серверам напрямую, а посылает запрос на скачивание web-страниц, картинок и файлов proxy-серверу, который сам обращается в Internet за определенными файлами.

Что дает использование proxy?
Использование proxy сервера повышает Вашу анонимность в Internet. Кроме того, за счет кэширования информации увеличивается скорость доступа к сайтам. .

Классификация proxy
Существует несколько типов proxy серверов. Каждый тип proxy ориентирован на решение своих задач, однако по своим возможностям они во многом схожи.

HTTP proxy
Это наиболее распространенный тип proxy и говоря просто "proxy", имеют в виду именно его. С помощью HTTP proxy Вы можете просматривать web-сайты и скачивать файлы. Этот тип proxy серверов поддерживает HTTP протокол и (иногда) FTP. Выделяют также подтип HTTP proxy - это HTTPS (или Secure HTTP, CONNECT) proxy. Такие proxy можно выстраивать в цепочки, с такими proxy может работать ICQ. Не все HTTP proxy имеют такую возможность.

Socks proxy
Это достаточно специализированный тип proxy серверов и они обладают более широкими возможностями, чем HTTP proxy. Socks proxy поддерживают работу по любому TCP/IP протоколу (FTP, Gopher, News, POP3, SMTP, и т.д.), а не только HTTP. Существуют 2 основные версии socks proxy: socks 4 и socks 5. Socks 5 является значительно улучшенным и расширенным вариантом по сравнению с socks 4, кроме того, он поддерживает работу не только по TCP, но и по UDP протоколу. Анонимность у socks proxy является самой высокой из всех типов proxy серверов. К числу недостатков socks proxy можно отнести сложность их использования: без дополнительных программ в браузере их использовать нельзя. Однако с этим типом proxy могут работать любые версии ICQ и многие другие популярные программы.

CGI proxy (анонимайзеры)
Хотя этот тип proxy обладает вероятно наименьшими возможностями из всех перечисленных типов proxy серверов, их популярность вполне заслуженна легкостью работы с ними. Хотя их можно (и имеет смысл) использовать только в браузере (в других программах их использование вряд ли возможно, да и неоправданно), работать с ними не просто, а очень просто: достаточно открыть URL proxy в браузезе. С помощью анонимайзеров Вы можете только просматривать HTTP (иногда - FTP, и еще реже - HTTPS) сайты или скачивать файлы, однако у них есть возможность (которая отсутствует у других типов proxy) запретить co_ok_ie и/или рекламу сразу в самом proxy сервере, не меняя настроек браузера. Кроме того, Вы можете их использовать вне зависимости от того, настроен Ваш браузер на работу через какой-либо proxy или нет.

FTP proxy
Этот тип proxy серверов сам по себе встречается достаточно редко. Обычно использование FTP proxy связано с тем, что в организации используется Firewall, препятствующий прямому доступу в Internet. Однако использование этого типа proxy предусмотрено во многих популярных программах (таких как FAR, Windows Commander и в браузерах). Это весьма узкоспециализированный тип proxy серверов и они могут работать только с FTP серверами.

Цепочки из proxy серверов
Используя один proxy сервер, Вы можете подключаться к другому proxy, через него - к следующему и т.д., т.е. выстроить цепочку из proxy серверов. Цепочка может состоять как из proxy одного типа (цепочки из HTTP или из socks proxy, цепочки из анонимайзеров), так и из proxy различных типов, например:

socks proxy -> socks proxy -> http proxy -> http proxy ->
- cgi proxy -> cgi proxy -> web сервер

У каждого типа proxy свой способ построения цепочки. Самый сложный - у HTTP proxy (тем более, что не все HTTP proxy позволяют включать себя в цепочку). А самый простой - у CGI proxy.

Анонимность proxy
При работе клиента с web сервером клиент (Ваш компьютер) передает о себе некоторую информацию. Используя эту информацию, можно не только узнать каким браузером Вы пользуетесь или какая операционная система у Вас установлена, но и узнать Ваше местонахождение (как минимум - страну и город, а иногда даже физический адрес!) и даже атаковать Ваш компьютер через Internet. Чтобы защититься от этого, Вам нужно "спрятать" информацию о Вас от web сервера - если не всю, то хотя бы важнейшую ее часть - Ваш IP адрес.

Разные типы proxy серверов дают разный уровень анонимности:

HTTP и CGI proxy бывают:

прозрачные - то есть не "прячут" Ваш IP
анонимные - "скрывают" Ваш IP адрес или "подменяют" его
Все FTP и Socks proxy являются анонимными и гарантированно не передают Ваш IP адрес серверу.

Другие характеристики proxy
Кроме таких свойств как анонимность или возможность включения в цепочку, proxy сервера обладают целым набором дополнительных характеристик:

- работоспособность
- скорость работы
- правила использования (настройка программ на работу с данным типом proxy)
- местоположение (страна)


Развернуть
Поддержать проект




Чтобы поблагодарить за сообщение, нажмите кнопку Изображение, чтобы повысить репутацию, нажмите Изображение

Аватара пользователя

Автор темы
BEST_XP
Administrator
Administrator
Сообщения: 1189
Зарегистрирован: Октябрь 2008
Репутация: 530
Пол: Мужской
Благодарил (а): 138 раз
Поблагодарили: 6039 раз

Re: Безопасность в сети

#9

Сообщение BEST_XP » 12 янв 2009, 11:40

Пароли и контроль над доступом


Для зашиты компьютерных установок на сегодняшний день имеются три основных класса контроля доступа. Это:

— контроль, основанный на знании (пароли);

— контроль, основанный на обладании (ключи);

—контроль, основанный на личных характеристиках (биометрические приборы).

В случае контроля, основанного на обладании, речь идет о предметах, принадлежащих пользователю, — физическом ключе, магнитной карте и т. д. Иногда используется металлическая пластинка причудливой формы, которую вставляют перед началом работы в шель распознавателя. “Ключом” может служить также идентификационный знак либо специальное письмо с подписью одного из высокопоставленных лиц компании.

Биометрические приборы анализируют специфические физические особенности пользователя (подпись, отпечатки пальцев или рисунок линий на ладони) и сравнивают их с теми, что наличествуют у них в памяти. Эти два вида компьютерной зашиты могут использоваться и для дистанционного управления доступом, хотя обычно к ним прибегают для ограничения доступа к тому месту, где находятся компьютеры, — компьютерному залу или отдельному кабинету.

Биометрические и физические ключи будут далее рассмотрены более подробно.

Первый вид контроля над доступом, наиболее распространенный, основан на обладании специфической информацией. Это означает, что правом доступа обладают лишь те лица, которые способны продемонстрировать свое знание определенного секрета, обычно пароля. Львиную долю работы хакера составляет именно поиск этого пароля. В этой главе и рассказывается обо всем, что вам необходимо знать о паролях: как они работают, где хранятся, и как их можно “взломать”.

пароли

Самый простой и дешевый путь зашиты любого типа компьютерной системы сводится к старому, испытанному способу: применению пароля. Даже те компьютеры, которые вовсе не нуждаются в средствах зашиты, зачастую снабжаются паролем просто потому, что пароль дает ощущение психологического комфорта и его использование не требует особенно много времени, сил и места в памяти. Более того, в системах, уже защищенных другими средствами — магнитными картами или иными программными методами, типа шифрования, нередко удваивают или утраивают заши-ту содержимого, прибегая к системе паролей. Таким образом, практически все установки компьютеров включают в себя пароли того или иного вида.

Пароли, как правило, рассматриваются в качестве ключей для входа в систему, но они используются и для других целей: блокирование записи на дисковод, в командах на шифрование данных или на разархива-цию файлов — короче, во всех тех случаях, когда требуется твердая уверенность в том, что соответствующие действия будут производиться только законными владельцами или пользователями программного обеспечения.

Пароли подразделяются на семь основных групп:

— пароли, устанавливаемые пользователем;

— пароли, генерируемые системой;

— случайные коды доступа, генерируемые системой;

— полуслова;

— ключевые фразы;

— интерактивные последовательности типа “вопрос — ответ”;

— “строгие” пароли.

Первый является наиболее распространенным — обычно пользователи, движимые мелким тщеславием, просят придумать себе личный пароль.

Случайные пароли и коды, устанавливаемые системой, могут быть нескольких разновидностей. Системное программное обеспечение может применить полностью случайную последовательность символов — случайную вплоть до регистров, цифр, пунктуациии длины; или же в генерирующих процедурах могут быть использованы ограничения. Например, каждый код доступа согласуется с заранее подготовленным шаблоном (вроде oabc-12345-efghn, где буквы и цифры, на заданных позициях, генерируются случайным образом). Создаваемые компьютером пароли могут также случайным образом извлекаться из списка обычных или ничего не значащих слов, созданных авторами программы, которые образуют пароли вроде onah.foopn, или ocar- back-treen. Полуслова частично создаются пользователем, а частично — каким-либо случайным процессом. Это значит, что если даже пользователь придумает легко угадываемый пароль, например, “секрет”, компьютер дополнит его какой-нибудь неразберихой, образовав более сложный пароль типа “секрет,5гh11”.

Ключевые фразы хороши тем, что они длинные и их трудно угадать, зато легко запомнить. Фразы могут быть осмысленными, типа “we were troubled by that”, или не иметь смысла — “fished up our nose”. Ключевые фразы применяются в тех организациях, где менеджер слегка помешан на защите. Следует заметить, что в программировании постепенно намечается тенденция к переходу на более широкое применение ключевых фраз.

К концепции ключевых фраз близка концепция кодового акронима, который эксперты по защите оценивают как короткую, но идеально безопасную форму пароля. В акрониме пользователь берет легко запоминающееся предложение, фразу, строчку из стихотворения и т. п., и использует первые буквы каждого слова в качестве пароля. Например, акронимами двух приведенных выше фраз являются “wwtbt” и “fuon”. Как видите, подобные нововведения в теории паролей значительно затрудняют занятия электронным шпионажем.

Шестой тип паролей — интерактивные последовательности “вопрос — ответ”, предлагают пользователю ответить на несколько вопросов, как правило, личного плана: “Девичья фамилия вашей супруги?”, “Ваш любимый цвет?”, и т. д. В компьютере хранятся ответы на множество таких вопросов. При входе пользователя в систему компьютер сравнивает полученные ответы с “правильными”. Сеансы вопросов и ответов могут оказаться лакомым кусочком для хакера, который хорошо знаком с пользователем, под чьим именем он пытается войти в систему. Системы с использованием вопросов — ответов склонны к тому же прерывать работу пользователя каждые десять минут, предлагая отвечать на вопросы, дабы подтвердить его право пользоваться системой. Это очень раздражает, особенно если пользователь погружен в интересную игру. Ныне такие пароли почти не используются. Когда их придумали, идея казалась неплохой, но раздражающий фактор прерывания привел к тому, что данный метод практически исчез из обихода.

“Строгие” пароли обычно используются совместно с каким-нибудь внешним электронным или механическим устройством - “цербером”. В этом случае компьютер обычно с простодушным коварством предлагает несколько вариантов приглашений, а бе-долага-пользователь должен дать на них подходящие ответы. Этот вид паролей часто встречается в системах с одноразовыми кодами, а также в параноидальных организациях.

Одноразовые коды — это пароли, которые срабатывают только один раз. К ним иногда прибегают, создавая временную копию для гостей, чтобы продемонстрировать потенциальным клиентам возможности системы. Они также порой применяются при первом вхождении пользователя в систему. Во время первого сеанса пользователь вводит свой собственный пароль и в дальнейшем входит в систему лишь через него. Одноразовые коды могут также применяться в системе, когда действительный пользователь входит в нее в первый раз; затем пользователю следует поменять свой пароль на более секретный персональный код. В случаях, когда системой пользуется группа людей, но при этом нельзя нарушать секретность, прибегают к списку одноразовых кодов. Тот или иной пользователь вводит код, соотвествуюший времени, дате или дню недели. Может быть, вам повезет и вы найдете такой список в одном из своих походов за мусором. Коды, конечно, вам уже не пригодятся, но зато вы уразумеете принцип зашиты данной системы.


Развернуть
Поддержать проект




Чтобы поблагодарить за сообщение, нажмите кнопку Изображение, чтобы повысить репутацию, нажмите Изображение

Аватара пользователя

Автор темы
BEST_XP
Administrator
Administrator
Сообщения: 1189
Зарегистрирован: Октябрь 2008
Репутация: 530
Пол: Мужской
Благодарил (а): 138 раз
Поблагодарили: 6039 раз

Re: Безопасность в сети

#10

Сообщение BEST_XP » 12 янв 2009, 18:28

Защищенная ось без антивирусов и тормозов


Автор: (c) Крис Касперски ака мыщъх

Некоторые воспринимают антивирус как неотъемлемую часть операционной системы и просто не мыслят свое существование без кучи защитных пакетов от разных производителей, свободно пропускающих заразу, но вызывающих жуткие тормоза и целый ворох конфликтов, вплоть до выпадения в BSOD. Самый лучший антивирус - это сама ось! Нужно только научиться правильно ею пользоваться!

Введение


Windows NT (и все производные от нее системы - W2K, XP и, частично, Longhorn) изначально проектировалась как защищенные оси, способные постоять за себя и дать вирусам решительный отпор без каких-либо дополнительных средств, в том числе и широко разрекламированного Microsoft Anti-Spy-Ware. Но, чтобы не увязнуть в терминах, прежде чем продолжить повествование, необходимо уточить ряд определений.

Изображение

Рисунок 1. Твоя операционная система - это твоя крепость, а всякие там антивирусы идут лесом.


Терминологические войны


Условимся называть вирусами саморазмножающиеся программы, паразитирующие на исполняемых файлах, динамических библиотеках, драйверах и других объектах подобного рода. Эпоха вирусов закончилась вместе с крушением MS-DOS. Сеть тогда только зарождалась и единственным средством добычи свежих программ были дискеты товарища, отдельные счастливчики имели доступ к FIDO и BBS. Все это создавало крайне напряженную обстановку с эпидемиологической точки зрения. Копировать программы друг у друга - все равно, что ширяться из одного шприца. Немногие помнят то светлое время, когда вирусов было всего семь, а антивирус годичной давности считался вполне свежим и актуальным. Фактически, основными носителями вирусов были люди, а не файлы, поэтому масштабы эпидемии определялись исключительно интенсивностью копирования программ.

С появлением Сети пользователи перешли на централизованную скачку дистрибутивов с официальных серверов, а вирусам для размножения перестали требоваться люди. Используя дыры в подсистемах безопасности и ошибки типа переполнения буфера, любой вирус буквально за несколько часов может заразить практически все уязвимые узлы, при этом ему совершенно необязательно внедряться в исполняемые объекты. Зачем привлекать к себе лишнее внимание, когда можно ограничиться временным проживанием в оперативной памяти. Если заражен хотя бы 1% всех машин в сети, то вирус, умирая при перезагрузке, через незаткнутые дыры будет возвращаться вновь и вновь, ведя кочевой образ жизни. Такие вирусы принято называть червями и это один из наиболее распространенных типов компьютерной заразы на сегодняшний день.

Еще существуют "психологические" вирусы, представляющие обыкновенные исполняемые файлы и распространяющиеся через вложения электронной почты, ICQ, в меньшей степени - Web и ftp. Свою историю они ведут от "крякеров Интернета", завлекающих бесплатным доступом в Сеть, а на самом деле форматирующих жесткий диск. Этот подкласс заразы назвали троянскими конями. Сейчас же времена первобытного варварства остались позади и большинство троянов не уничтожают информацию, поскольку это сделает их пребывание слишком заметным, а скрыто устанавливает шпионскую закладку, похищающую пароли, содержимое электронных кошельков или позволяющую управлять компьютером по сети - такие компьютеры называются зомби или дронами. Собрав огромную армию дронов, хакер может совершать распределенные атаки и делать кучу других антисоциальных вещей, например, рассылать спам.

Изображение

Рисунок 2. Вирусы - такие колючие и разные!


Антивирусы - за гранью возможного


Антивирусы в настоящее время практически полностью утратили былую значимость и усиленно пытаются отойти от пропасти, на дне которой они находятся. Вирусы, заражающие исполняемые файлы, за последние несколько лет фактически перевелись, к тому же запретить запись в исполняемые файлами средствами операционной системы намного проще, дешевле, быстрее и надежнее, чем устанавливать антивирусный пакет. И уж совсем бессмысленно пытаться лечить зараженные объекты, ведь в любой момент их можно переустановить с дистрибутивной копии, хранящейся на CD-R/RW или скаченной их Сети. Но автономный сканер - это еще туда-сюда. Лично я примерно раз в год скачиваю демонстрационную версию какого-нибудь антивируса и проверяю свое хозяйство на предмет: "а вдруг?" Впрочем, до сих пор все было чисто и никаких "авдругов" со мной не случалось.

Антивирусный монитор, следящий за всеми создаваемыми/открываемыми файлами, и проверяющий их "на лету" - это дополнительные тормоза (подчас, очень значительные), конфликты, критические ошибки, голубые экраны смерти и прочий ничем неоправданный геморрой. Вся проблема в том, что антивирус может ловить только те вирусы, о которых знает, а вирусы сейчас пишут все кому не лень, так что даже при экстраординарной степени оперативности никакой гарантии, что вся зараза будет распознана, у нас нет. Более того! Вирус, упакованный слегка подправленной версий крутого протектора, имеет 100% шансы остаться незамеченным! Сложные протекторы уже не распаковываются на эмуляторе ЦП (также называемом виртуальной машиной) и для их снятия требуется статический распаковщик, входящий в "движок" антивирусной базы и справляющийся только со строго конкретными версиями протекторов и очень болезненно относящийся даже к незначительным изменениям структуры упакованного файла. Да что там структура! Обычно бывает достаточно внедрить в точку входа jump на инструкцию неизвестную эмулятору (например, что-нибудь из набора SSE/SSE2) и антивирус идет лесом, поскольку переменная длина x86 инструкций не позволяет ему определить начало следующей машинной команды!

Изображение

Рисунок 3. Голубой экран смерти, вызванный антивирусным монитором.


Реально антивирусы могут отлавливать только немодифицированные версии троянских коней, да и то с оговорками. Просто смешно видеть, как на какой-нибудь файлопомойке типа http://www.download.ru пишут: "все программы проверены последними версиями антивирусов X и Y". Вы либо доверяете своему поставщику, либо нет. Как нельзя быть чуть-чуть беременной, так и нельзя доверять наполовину. Если разработчик (или дистрибьютор) задастся целью внедрить закладку - будьте уверены, он внедрит ее так, что никакой антивирус не поможет. Запускайте программы, полученные только из надежных источников, и только с минимально необходимым уровнем привилегий. Криво спроектированная программа, запущенная с администраторскими привилегиями, способна уронить всю систему так, что "ремонт" последней (в плане времени) обойдется дороже полной переустановки, но... никакого отношения к вирусам такая программа не имеет, поэтому антивирус скромно пропускает ее между ног, а вот правильно настроенная ось способна предотвратить свое обрушение, причем совершенно бесплатно и без тормозов!

Что же касается червей (и, в частности, нашумевшего MS BLAST, известного также под кличкой Love San), то это вообще песня. Удаляют его антивирусы, не удаляют - что толку? Пока есть дыра, он словно феникс из пепла будет появляться вновь и вновь. К тому же, всегда существует вероятность, что кто-то умный напишет свой собственный shell-код, не имеющий с MS BLAST'ом ничего общего, а потому и не детектируемый никаким антивирусом! Некоторые дыры можно закрыть брандмауэром, но в общем случае, для этого необходимо установить заплатку от производителя уязвимого продукта, которым может быть как сама ось, так и один из ее компонентов: IE, FireFox и т.д.

Еще существует такой тип антивирусов, как ревизоры, в задачу которых входит проверка целостности существующих файлов и контроль за вновь созданными. Некоторые ревизоры также контролируют и реестр, особенно ветки, прямо или косвенно ответственные за автоматический запуск программ. Во времена MS-DOS это была очень хорошая штука, но сейчас... винчестеры так разжирели, что процедура сканирования отнимает кучу времени (а если работает в фоне, то это уже тормоза), к тому же многие сканеры содержат ошибки, позволяющие заразить файл без изменения его контрольной суммы (см. статью "Как подделывают CRC16/32"), не говоря уже о том, что правильная политика разграничения доступа сводит актуальность сканеров на нет, тем более, что, начиная с W2K, система сама контролирует целостность жизненно важных файлов через механизм SFC. Ну вот, сейчас кто-то скажет, что SFC легко обмануть, так ведь и сканер обмануть ничуть не сложнее, особенно если вирус стелсируется на уровне ядра или вообще не внедряется ни в какие объекты файловой системы, существуя лишь в виртуальной памяти какого-нибудь процесса.

Контроль за целостностью виртуальной памяти процессоров берут на себя как антивирусы, так и персональные брандмауэры, распознающие и отсекающие все известные способы внедрения в чужое адресное пространство, да вот только... работает этот механизм кое-как. Зловредному коду, запущенному с пониженными привилегиями, доступ к чужим процессам можно запретить средствами самой операционной системы, а код, запущенный с правами администратора, пройдет сквозь все уровни защиты, как нож сквозь масло (при условии, что его писал не пионер, а хотя бы комсомолец). Самое неприятное, что существует множество легальных программ, например, мультимедийных клавиатур и мышей, использующих внедрение в чужое адресное пространство для реализации своих мультимедийных возможностей, поэтому слепой запрет брандмауэра/антивируса приведет к их неработоспособности! Значит, необходимо предоставить пользователю возможность выбора. А сможет ли он отличить честную программу от нечестной? Но даже не это самое страшное. Чем глубже внедряется брандмауэр/антивирус в систему, тем сложнее зловредному коду его обойти, но и тем больше конфликтов и глюков он (брандмауэр/антивирус) вызывает.

Получается так, что грамотно настроенной системе никакой антивирус не нужен, а с безграмотной никакой антивирус все равно не справиться (брандмауэр стоит ставить только затем, чтобы отделить домашнюю локальную сеть от Интернет и следить за сетевой активностью установленных программ, выявляя не только шпионов, но и легальные программы, пытающиеся проверить корректность регистрации).

Эвристики


Эвристика - это одно из многих buzzwords конца XX - начала XXI века, то есть ученое или специальное словечко, способное произвести впечатление на непосвящённого. Это усилительное (часто бессмысленное) слово, используемое в профессиональном жаргоне для придания продукту тех черт, которыми он не обладает, или обладает, но совсем не в той мере.

Идея эвристики уходит корнями в эпоху ранней юности MS-DOS и в общих чертах сводится к выявлению признаков, часто встречающихся в вирусах, но практически никогда - в легальных программах. Тогда это было легко! Код вируса писался на чистом ассемблере и укладывался в линейную структуру, которую легко "переваривал" эмулятор, распознающий ряд заложенных в него шаблонов. Например, если функция FindFist вызывалась с маской *.com или *.exe, это давало основание предположить, что мы имеем дело с программой внедряющейся в исполняемые файлы. Но стоило зашифровать маску, использовать самомодифицирующийся код или другие хитрые приемы, как эвристик шел лесом. Шаблонный поиск уже не работал, а на полный анализ не хватало вычислительной мощности и, хотя существовали эвристики, срабатывающие в 90% случаев (реальных 90%, а не "макетоидных"), большого распространения они не получили, поскольку требовали огромного времени на анализ, а пользователь - он, как известно, ждать не любит.

Сейчас вычислительные мощности многократно возросли, но вместе с ними возросла и сложность вирусов. На место ассемблера пришли языки высокого уровня, линейный код распался и вирус превратился в запутанный клубок функций, взаимодействующих друг с другом самым невероятным образом. Сравните структуру вируса Boot/Brain.A, написанного в далеком 1984 году с червем W32/Bagle.AG@mm, созданным двадцать лет спустя - в 2004.

Изображение

Рисунок 4. Структура вируса Boot/Brain.A, написанного в 1984 году.


Изображение

Рисунок 5. Структура червя W32/Bagle.AG, написанного в 2004 году.


Даже если антивирусу удастся побороть упаковщик и передать эвристику распакованный код... никаких вирусных признаков ему все равно там ни за что не обнаружить, ну разве что это будет совсем пионерский вирус. Наличие незашифрованных текстовых строк с ключами реестра, ответственными за автозапуск, имен исполняемых файлов антивирусных программ, команд в стиле "rm -rf /" с высокой степенью указывает на зловредную программу, но... их очень легко зашифровать.

Еще эвристик может анализировать таблицу импорта и аргументы, передаваемые функции GetProcAddress, и если там встретится WriteProcessMemory, VirtualAllocEx, CreateRemoteThread или что-то еще в этом роде, антивирус сделает вывод, что имеет дело с программой, способной внедряться в другие процессы - верный признак червей и... отладчиков. Причем, черви сплошь и рядом используют свою собственную реализацию GetProcAddress, принимающую не имя функции, а ее хэш!

Что касается классических вирусов, внедряющихся в исполняемые файлы, эвристик может проанализировать адрес точки входа, проверив, не указывает ли он в последнюю секцию файла или в PE-заголовок и если да, то забить тревогу. Но это всего лишь два способа внедрения из... очень многих! В моей книге "Компьютерные вирусы снаружи и изнутри" собрана неплохая коллекция методов внедрения, большинство из которых с точки зрения антивируса вполне законны и визуально ничем не отличаются от нормальных программ.

Ситуация осложняется тем, что многие вирусные приемы сейчас активно используются протекторами и если эвристик не утихомирить, он отправит в топку добрую половину легальных программ, чего допускать ни в коем случае нельзя!

Конечно, иногда эвристик все-таки срабатывает (особенно в свете того, что все больше и больше вирусов пишутся пионерами, научившимся программировать раньше, чем читать), но возлагать на него какие-то надежды - это все равно, что пытаться обыграть казино. Если создатель вируса не лось, он многократно прогоняет его через различные эвристики, добиваясь их полной и безоговорочной капитуляции. В смысле - молчания.

Кстати говоря, еще во времена MS-DOS мыщъх носился с идей антивируса, распознающего не вирусы, а... легальные программы! Уже тогда количество существующих вирусов и их модификаций на несколько порядков (не двоичных!) превысило число популярных программ! В антивирусной базе содержатся контрольные суммы легальных программ, рассчитанные по алгоритму MD5, который очень сложно подделать, в результате чего факт заражения распознается влет независимо от алгоритма внедрения, а все неизвестные антивирусы программы попадают в категорию потенциально зараженных. При тесной кооперации разработчиков ПО с антивирусными компаниями, "потенциально зараженных" программ будет немного и это (в основном) будет программы, написанные на коленке неизвестно кем и неизвестно как. Ошибки, допущенные при их создании, зачастую несут ничуть не меньший ущерб, чем вирусы. Забавно, но к этой идее антивирусная индустрия начала подходить только сейчас, предлагая услуги по сертификации ПО, однако сама сертификация - чисто формальная процедура и даже если цифровую подпись напрямую подделать нельзя (криптография не велит), можно подкупить (ввести в заблуждение) выдающего его человека, то есть круг замыкается.

Никакие, даже самые совершенные антивирусы ни от чего не спасают! При этом они стоят немалых денег, пожирают сетевой трафик частыми обновлениями, вызывают конфликты и тормозят работу системы, между тем система вполне может справиться с вирусами и сама - никакие дополнительные костыли ей не нужны!

"Песочница" как средство от вирусов и прочей заразы


Я сейчас скажу кое-что, но только если вы пообещаете, что не будете кидать в меня камни. Ага, это вы сейчас говорите, что не будете.... ну да ладно, мне уже все равно. Короче, в отличии от, например, BSD, Windows NT не является многопользовательской операционной системой, поскольку только один пользователь может работать с компьютером в любой момент времени и, прежде чем переключиться на другого, необходимо завершить текущий сеанс, закрыв все приложения и лишь потом... А вот в BSD все очень просто: нажал Alt-F# и переключился на соседнюю консоль и все! В Windows XP наконец-то появилась возможность переключения сеансов разных пользователей без завершения, но... механизма взаимодействия между пользователи как не было, так и нет. Да и неудобно это все равно...

Правда, в текущем сеансе можно запускать программы от имени другого пользователя, но это, во-первых, совсем не то, а, во-вторых, далеко не все программы соглашаются на такой запуск, и еще меньше из них сохраняют свою работоспособность в полном объеме. Так что, без бубна здесь не обойтись. Если нет бубна, на худой конец сойдет и обычный оцинкованный таз.

Идея противостояния вирусам в общих чертах заключается в выборе правильной политики разграничения доступа, тогда вирус (или другая зловредная программа) просто не сможет напакостить и нанести сколь-нибудь значительный урон. А для этого все потенциально опасные программы нужно запускать в своеобразной песочнице. В идеале - на виртуальной машине типа VM Ware, однако, про VM Ware мы уже неоднократно писали, а вот про разграничение доступа материалов практически нет.

Начнем с того, что никогда, ни при каких обстоятельствах не следует постоянно сидеть под "администратором", поскольку при этом любая запущенная программа может делать с системой все, что ей вздумается. Под администратором следует заходить в систему только для выполнения "ремонтных" работ - установки новых драйверов, изменения параметров конфигурации и т.д. А все остальное время проводить под "опытным пользователем" или просто "пользователем" с ограниченным доступом. Чем меньше у вас привилегий, тем меньше их и у каждой запущенной вами программы, однако под обыкновенным пользователем многие программы работать отказываются, поскольку требуют записи в каталог Program Files или в другие "злачные" места, поэтому приходиться громко бить в бубен и долго трахаться, но зато потом! Потом наступает тишь да благодать! Ни вирусов, ни малвари...

Необходимости в периодическом резервировании, естественно, никто не отменял. Надежнее всего, конечно, резервироваться на CD-R/RW, DVD-RW, ZIP, стримеры и прочие внешние носители информации, однако это непроизводительно, неудобно, да и надежность у винчестеров все же повыше будет, чем у того же CD-RW. Поступим так. Создадим нового пользователя с администраторскими правами (Пуск -> Панель Управления -> Пользователи и пароли -> Имя -> Пароль -> Другой -> Администраторы), назовем его, к примеру, "backup", зайдем под его именем в систему, создадим каталог general-stores (т.е. общее хранилище) и скопируем туда все, что необходимо. Затем, щелкнув по каталогу правой кнопкой мыши, в появившемся контекстом меню выбираем вкладку "свойства", а там "безопасность" со списком допущенных лиц. По умолчанию каталог доступен для всех, что никак не входит в наши планы, поэтому удаляем "всех" нахрен, предварительно сбросив галочку "переносить наследуемые от родительского объекта разрешения на этот объект". Все!!! Теперь этот каталог недоступен никому, даже системе! И только владелец, создавший его (то есть "backup"), может войти в раздел "безопасность" и вернуть "всех" на место. Внимание! Администратор этого сделать не сможет!!! Ну, вообще-то, чтобы так не извращаться, после удаления "всех" можно добавить пользователя "backup", делегировав ему полный доступ к каталогу. Все же остальные пользователи, включая членов группы "Администраторы", добраться до этого каталога не смогут. Хорошая защита от вирусов и прочих деструктивных программ, не правда ли? (ну вообще-то, если зловредный код получит права администратора, он запросто сможет забить диск мусором на секторном уровне, но к счастью, такие вирусы практически не попадаются). Кстати говоря, задумаемся, а что произойдет, если случайно (преднамеренно) удалить пользователя "backup"? Ведь тогда к архиву доступ не сможет получить никто! К счастью, штатная утилита chkdsk распознает такую ситуацию и если видит подобный каталог-зомби, она автоматически возвращает "всех", воскрешая информацию из небытия.

Нашей следующей задачей будет постройка "песочницы" для всех тех программ, что могут быть атакованы из сети, к числу которых принадлежит IE, FireFox, Outlook Express, The Bat, ICQ и другие. Каждая из них должна быть запущена из-под ограниченного пользователя, не имеющего доступа ни к каким каталогам, кроме тех, что явно нужны самой программе. В принципе, можно завести одного ограниченного пользователя на всех, обозвав его к примеру "sandbox" (то есть, песочница), однако в этом случае червь, пробравшийся через IE, сможет разрушить почтовую базу, накопленную за многие годы, что будет обидно. Поэтому лучше всего дать каждой программе по пользователю (конечно, это увеличивает потребности системы в памяти, но не столь радикально).

Итак, создан ограниченный пользователь "sandbox", в свойствах "безопасности" каждого каталогов (или всех дисков целиков) "sandbox" добавлен и доступ ему запрещен (политика запрета имеет приоритет над политикой разрешений, поэтому удалять "всех" совершенно необязательно). По завершению этой нехитрой операции, у sandbox'а останутся только те каталоги, которые ему нужны (как правило, это каталоги самой программы, причем без права записи в исполняемые файлы).

Попробуем запустить в песочнице ну... например, FireFox. Создаем ярлык с firefox.exe (если только это не сделал инсталлятор), щелкаем по нему правой клавишей, идем в "свойства" и там взводим галочку "запускать от имени другого пользователя". Говорим "ОК" и запускаем. Появляется грозное диалоговое окно, требующее ввода имени и пароля. Вводим. И... ни хрена Горящий Лис не запускается! Между прочим, в Linux/BSD подобная операция протекает без каких бы то ни было проблем. А здесь нужен бубен или более конкретно - файловый монитор Марка Руссиновича, показывающий на каких именно файловых операциях программа обламывается (вот так, значит, разработчики относятся к сообщениям об ошибках). Качаем файловый монитор: http://www.sysinternals.com/Utilities/Filemon.html (он, кстати, занимает меньше двухсот килобайт и распространяется совершенно бесплатно). Запускаем из-под администратора (создаем ярлык и взводим уже известную нам галочку "запускать от..."), запускаем! В данном случае файловый монитор запускается (потому что запрограммирован правильно) и мы быстрым спортивным шагом идем в Options -> Filter/Highlight или нажимаем <CTRL-L>. В появившемся диалоговом окне взводим все галочки, кроме "Log Successes", поскольку мониторить успешные операции нам нахрен не нужно! Нам нужны ошибки! Нажимаем "OK" и перезапускаем программу (фильтр будет действовать только после запуска). Вновь запускаем Горящего Лиса. Что мы видим? Сначала идут ошибки поиска динамических библиотек в тех каталогах, где их нет - ну это нормально. А вот дальше... дальше, Горящий Лис пытается создать папку Mozilla прямо в каталоге WINNT (в ней он хранит свои настройки, кэш страниц и т.д.), куда его, естественно, не пускают и он тихо умирает.

Изображение

Рисунок 6. Файловый монитор, показывает на чем обламывается запуск Горящего Лиса.


Да... задача. Пробуем утилиту командной строки runas, запустив ее так: "runas /user:sandbox firefox.exe" (при этом firefox.exe должен быть в текущей директории). Нас деловито спрашивают пароль и... Ни хрена! Теперь, Горящий Лис лезет в Document-n-Setting\Default User, куда ему доступа также нет! В чем же дело?! В чем причина?! А в том, что для корректной работы большинства программ необходимо загрузить еще и профиль пользователя, от имени которого мы их запускаем, поэтому правильный вариант выглядит так: "runas /profile /user:sandbox firefox.exe". Теперь запуск проходит без проблем!

А вот Опера хранит кэш не в профиле пользователя, а непосредственно в своем каталоге (впрочем, это зависит от ее настроек), поэтому sandbox'у необходимо присвоить права на запись в "program files\opera".

Остальные программы "распутываются" аналогичным образом. Если не помогает файловый монитор, качаем монитор реестра (http://www.sysinternals.com/Utilities/Regmon.html) и смотрим, в каких ветвях нуждается программа. Маленький подводный камень - перенаправить ввод с клавиатуры на файл, увы, не удастся и пароль придется каждый раз вводить вручную, что напрягает. Впрочем, программисты запросто напишут программу лишенную этих недостатков. Нам же главное - создать кучу пользователей, распределив правда доступа так, чтобы зловредные программы не имели никаких шансов ни для размножения, ни для шпионской деятельности.

Заключение


Создание защищенной системы без использования антивирусов - это реально! Пускай на первоначальном этапе нам придется проделать большой объем работы и очень много думать головой, создавая столько пользователей, чтобы полностью изолировать одно потенциально опасное приложение от всех остальных, но и с другой стороны, не запутаться - какой пользователь на что отвечает. Зато какая благодать давать своим домашним играть на вашей машине, зная, что они ничего плохо с ней не смогут сделать, ну, разве что, если очень-очень сильно захотят.

Изображение

Рисунок 7. После предварительной настройки политики доступа женщинам компьютер тоже можно доверять!


Развернуть
Поддержать проект




Чтобы поблагодарить за сообщение, нажмите кнопку Изображение, чтобы повысить репутацию, нажмите Изображение

Аватара пользователя

zidanchik
Заслуженный
Заслуженный
Сообщения: 2166
Зарегистрирован: Март 2009
Репутация: 115
Пол: Мужской
Откуда: Леса Сибири
Благодарил (а): 519 раз
Поблагодарили: 1152 раза

Re: Безопасность в сети

#11

Сообщение zidanchik » 18 май 2009, 13:28

Вот это статья!!!Абалденная просто..Много чего взял.много чего не разобрал...очень полезная штучка!

Аватара пользователя

Danila
Пользователь
Сообщения: 129
Зарегистрирован: Май 2009
Репутация: 17
Пол: Мужской
Благодарил (а): 5 раз
Поблагодарили: 33 раза

Re: Безопасность в сети

#12

Сообщение Danila » 21 авг 2009, 19:37

Прочитал, местами посмеялся... Вспомнил былые времена. Спасибо, за ностальгию. :)
P.S. Хоть и публикация этих статей относительно недавняя, но вот содержании в этих статьях все таки годиков эдак 2000-2002. Довольно таки многое уже изменилось с тех пор.

Аватара пользователя

monah240683
Новичок
Сообщения: 7
Зарегистрирован: Декабрь 2009
Репутация: 0
Пол: Мужской
Откуда: УКРАИНА
Благодарил (а): 6 раз

Re: Безопасность в сети

#13

Сообщение monah240683 » 28 мар 2010, 19:30

Я так вообще только что прочёл...
Спасибо за подробное описание некоторых вещей, кое о чём я только слышал, но толком не знал! :good:
Я не уверен, что здесь можно задать вопрос, но если что удалите мой пост и по возможности отпишите в личку, пожалуйста...

Вопрос Администратору, поскольку вижу он более чем достаточно компетентен в даном контексте.
Вопрос таков! Какие есть онлайн сервисы проверки заражённых файлов? Что они собой представляют? Можно ли им доверять? Есть ли среди них бесплатные? Вообще - стоит ли ими пользоваться? Расскажите, пожалуйста об этом!

Суть проблемы в том, что иногда антивирус "бесится" после очередного обновления "базы" и показывает некоторые файлы, изначально установленные вместе с ОС, как заражённые или как "трояны". Наряду с настоящими "червями" и "троянами" иногда трудно разобраться, где липа, а где нет. Раньше удалял не особо глядя, где что: запоминал директории на всякий случай и пробовал найти информацию по этому поводу...
После того как один раз побил исполняемые системные файлы и переставил ОС, стал отправлять всё подряд в "Хранилище" (у меня "домашний" "Аваст"). Заметил интересный факт: после очередных нескольких обновлений "базы", сканируемые повторно файлы, кроме явно сторонних, оказываются "чистыми".

Хотелось бы знать, как ещё можно проверить заражённые файлы, потому спросил об онлайн-сервисах. Для замыливания собственных глаз использую ещё бесплатный сканер D. Web... С Firewall-ами пока не определился - включен стандартный: :D иногда работает.


Вернуться в «Интернет»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 3 гостя