Безопасность в интернете. 2

Безопасность в интернете

Безопасность  персонального компьютера в интернете - проблема комплексная, поэтому сначала  рассмотрим основные виды угроз, с которыми могут столкнуться пользователи интернета.

Одна из самых  давних и наиболее очевидная опасность - это вирусы, которые с распространением интернета обрели «второе дыхание». Существует много классов вирусов, но мне хотелось бы остановиться на одной разновидности, часто рассматриваемую как отдельный класс - так называемые «троянские кони».

Троянские кони

Отличаются  от вирусов тем, что они не размножаются и часто маскируются под видом  полезных и безопасных программ или  обновлений для популярных программ.

Интернет-трояны - программы, которые либо дают доступ к компьютеру с другого компьютера без ведома пользователя (BackDoor), либо высылают по определенному адресу какую-либо информацию с компьютера-жертвы (Trojan.PSW).

Backdoor

К Backdoor относят утилиты скрытого удаленного администрирования (самые известные примеры Back Orifice, Netbus, Subseven) - организовывающие на установленном компьютере «дверь» для вторжения извне. От утилит администрирования, разрабатываемые и распространяемые различными фирмами-производителями программных продуктов, backdoor отличаются тем, что в них отсутствует предупреждение об инсталляции и запуске, либо присутствует возможность организации «скрытого» режима работы.

После запуска  троянец устанавливает себя в  системе, при этом в ОС не выдается никаких сообщений о действиях  троянца пользователю. Более того, ссылка на троянца может отсутствовать  в списке активных приложений. В  результате «пользователь» этой троянской программы может и не знать о ее присутствии в системе, в то время как его компьютер открыт для удаленного управления.

Будучи установленными на компьютер, утилиты скрытого управления позволяют делать с компьютером  все, что в них заложил их автор: принимать/отсылать файлы, запускать  и уничтожать их, выводить сообщения, стирать информацию, перезагружать  компьютер, ввести протоколы всех нажатых  клавиш и т. д. В результате, эти  троянцы могут быть использованы для обнаружения и передачи конфиденциальной информации, для запуска вирусов, уничтожения данных и т п.

Trojan.PSW

Многочисленная  группа Trojan.PSW менее «функциональна» и больше предназначена для одноразового выполнения определенных деструктивных или «шпионских» функций. Например, отсылка по прописанному в теле троянца адресу какой-либо конфиденциальной информации (учетная запись для подключения к Сети, пароли на ICQ и ваш почтовый ящик, на платные сайты, регистрация на которых обошлась вам в звонкую монету, пароли на сетевые ресурсы и т. п.).

Меры противодействия

Для начала необходимо проверить, есть ли на компьютере доступные извне ресурсы (такие  как сетевой принтер, жесткие  диски). Чаще всего от хакеров, занимающихся сканированием диапазонов IP-адресов  провайдера, страдают пользователи локальных  сетей, которые предоставляют доступ к своим дискам и директориям  другим пользователям сети (например, небольшая ЛС дома или в офисе). Поэтому, прежде всего, необходимо запретить доступ к своим дискам или хотя бы ограничить его (предоставив доступ к разделам и директориям, не содержащим конфиденциальную информацию, или поставить на необходимые пользователям локальной сети ресурсы оговоренные

заранее пароли).

Для запрета  доступа посторонним к вашим  дискам необходимо зайти в: «Control Panel» --> «Network» и, щелкнув по кнопке «File and print sharing», убедиться в том, что все галочки сняты.

Далее открыв папку «Dial-Up Networking», заходим в свойства соединения и во вкладке «Server Types» снимаем галочку напротив, «Log on to network» и напротив протоколов «NetBEUI» и «IPX/SPX Compatible».

Ни в коем случае не разрешайте доступ в директорию Windows! Именно в ней в большинстве случаев хранятся сохраненные пароли, как стандартной «звонилки» Windows, так и других программ дозвона, например, EType Dialer.

Выполнив  эти несложные действия вы защитите свой компьютер от любителей похищения интернет-эккаунтов, ищущих по IP-адресам провайдеров компьютеры с доступными извне ресурсами.

Троянские кони

Троянец чаще всего попадает на компьютер пользователя из-за наплевательского отношения пользователя к безопасности своего ПК. Один из самых  популярных вариантов - получение трояна по почте, либо по ICQ (письмо от какой-то девушки с прикрепленной фотографией ее «90x60x90», «полезные» программы (например, обновление антивируса или проверка на совместимость с 2xxx годом)). Кроме почты и ICQ, троян может попасть на ваш компьютер с какого-то download или с хакерского сайта (например, под видом очень крутого взломщика провайдера).

Не ленитесь проверять все новые файлы  свежайшим антивирусом! Поймите, что лучше немного перестраховаться, чем потерять ценную информацию (курсовую работу, квартальный отчет, эккаунт в интернете, свой почтовый ящик или все содержимое жесткого диска).

Кстати, про  бесплатные почтовые ящики…. Постарайтесь при регистрации почтового ящика  не указывать секретный вопрос (или  уберите его, если он у вас есть). Дело в том, что человек заинтересовавшийся вашим почтовым ящиком, может угадать  ответ на секретный вопрос, либо вступив с вами в невинную переписку  как бы между прочим узнать его. Поэтому будьте предельно осторожны при переписке с незнакомыми людьми.

В большинстве  случаев перечисленных выше мер  должно хватить для относительной  безопасности.

Межсетевой экран

 

Если же вы хотите контролировать все интернет-соединения компьютера, оставаться анонимным во время серфинга, иметь возможность предотвратить отсылку троянцем ваших драгоценных паролей, то Вам необходимо поставить между вашим компьютером и Сетью «стенку», наткнувшись на которую, злоумышленники, вряд ли будут пытаться проникнуть дальше. Скорее всего, злоумышленник попытается найти себе более незащищенную жертву. Отсюда вывод: необходимо создать эту самую «стенку». Такими стенками являются межсетевые экраны (как их еще называют, брандмауеры или firewall). Это название довольно точно отражает специфику их функционирования (брандмауер - пожарный термин, означающий стену, которую воздвигают на пути у огня).

Количество  пользователей Интернета с каждым годом неуклонно увеличивается, в связи с чем проблемы безопасности становятся все более актуальными. В данный статье попробуем сформулировать ряд практических советов, которых следует придерживаться в ходе работы в Сети. Многие из приведенных ниже советов могут показаться опытному пользователю очевидными истинами, однако статистика инцидентов показывает, что подавляющее большинство из них связано с нарушением одного или нескольких упомянутых в данной статье правил.

Перед подключением к Интернету установите антивирус  и брандмауэр

Наличие средств  антивирусного мониторинга и  брандмауэра является необходимым  элементом защиты компьютера. К сожалению, большое количество пользователей  пренебрегает этим правилом, что в конечном счете приводит к поражению компьютера вирусами или AdWare/SpyWare-программами. Рекомендовать конкретный антивирус достаточно трудно, однако несложно сформулировать основные требования к нему:

  • антивирус должен содержать монитор. Это обязательное требование, поскольку именно монитор в состоянии блокировать проникновение вредоносной программы на компьютер;
  • базы антивируса должны часто обновляться, в идеальном случае — не реже одного раза в день. Многие пользователи недооценивают важность обновления антивирусных баз. Автору неоднократно приходилось исследовать пораженные компьютеры, защищенные антивирусом с устаревшими на несколько месяцев базами;
  • крайне желательна интеграция антивируса с браузером и почтовым клиентом;
  • интегрированные решения, состоящие из антивируса и брандмауэра, проще для пользователя в настройке и эксплуатации;
  • очень эффективны антивирусы последнего поколения, содержащие, помимо монитора, средства проактивной защиты.

 

Если задачей  антивируса является своевременное  обнаружение вредоносных программ и их удаление, то задача брандмауэра  заключается в блокировании сетевых  атак и нежелательной сетевой  активности приложений. Специализированные брандмауэры (например, Outpost, Zone Alarm, Sygate Pro и др.) позволяют создавать довольно сложные правила, отслеживать и блокировать сетевую активность приложений, подавлять рекламу в веб-страницах и решать ряд других задач, связанных с безопасностью. При отсутствии специализированного брандмауэра можно использовать брандмауэр, встроенный в Windows XP. Он уступает по функциональности специализированным продуктам, но вполне эффективен в качестве базового метода защиты.

Настройка встроенного  в Windows XP брандмауэра не представляет особой сложности и производится из панели управления (Пуск –> Панель управления –> Брандмауэр Windows).

Настройки размещаются  на трех закладках. Закладка «Общие» позволяет включить или выключить брандмауэр. На закладке «Исключения» задаются индивидуальные правила для указанных пользователем приложений. Базовый набор таких правил для некоторых стандартных компонентов предустановлен, однако эти правила можно удалить или отключить. На закладке «Дополнительно» можно указать, какие сетевые соединения должны быть защищены брандмауэром, а также настроить параметры протоколирования. Кроме того, на этой закладке содержится кнопка «По умолчанию», сбрасывающая настройки брандмауэра на настройки по умолчанию.

Не работайте  в Интернете из-под учетной  записи администратора

Проведенный автором анализ показывает, что большинство  пользователей работают из-под учетной  записи «Администратор» или из-под своей персональной учетной записи, входящей в группу «Администраторы». С одной стороны, это очень удобно — пользователь никогда не столкнется с проблемами нехватки прав для выполнения той или иной операции. С другой стороны, в случае проникновения на компьютер вредоносной программы для компьютера она тоже будет обладать неограниченными правами, что, в частности, позволит ей установить свои службы и драйверы, модифицировать системные файлы и ключи реестра с критическими настройками системы. Исследования показывают, что в случае запуска из-под учетной записи с ограниченными правами многие вредоносные программы становятся неработоспособными или наносимый ими вред оказывается существенно меньше, чем в случае запуска из-под учетной записи администратора. Выводом из данных исследований является практический совет: завести учетную запись с минимальными привилегиями и работать из-под нее в Интернете. Для создания подобной учетной записи рекомендуется привлечь опытного администратора.

Утилита DropMyRights

Назначение  утилиты — запуск указанной программы  с минимальными привилегиями, что  очень полезно в качестве дополнительной меры безопасности. Утилита DropMyRights распространяется фирмой Microsoft вместе с исходными текстами.

Для установки  программы необходимо проинсталлировать  DropMyRights.msi, который можно найти на прилагаемом к журналу компакт-диске. Для определенности будем считать, что программа устанавливается в папку c:\DropMyRights\, причем из всех файлов для нас представляет интерес сама утилита — DropMyRights.exe. Далее необходимо создать ярлык для запуска браузера: в поле Укажите размещение объекта мастера создания ярлыка необходимо указать c:\DropMyRights\DropMyRights.exe “E:\Program Files\Internet Explorer\IEXPLORE.EXE”. Если теперь запустить браузер при помощи данного ярлыка, то он будет запущен с минимальными привилегиями, а не с привилегиями текущей учетной записи. Эта мера, естественно, не гарантирует безопасности при работе в Интернете, однако в случае активации вредоносной программы в ходе просмотра веб-страниц возможности этой программы будут существенно ограничены. В частности, вредоносный код не сможет создавать и модифицировать файлы в системных папках, устанавливать драйверы и модифицировать большинство настроек системы в реестре. В результате повреждение системы от деятельности вредоносной программы будет сведено к минимуму. Подобным образом можно запускать не только браузер, но и программы для работы с электронной почтой и интернет-пейджеры — необходимо только удостовериться, что программа стабильно работает после запуска при помощи утилиты DropMyRights. Достоинство утилиты несомненно, поскольку она позволяет запустить любое приложение с ограниченными правами без создания специальной учетной записи, которое требуется для запуска программы при помощи системной утилиты runas.exe.

Установите  для входящих в группу «Администраторы» учетных записей сложные пароли

Отсутствие  пароля у пользователей, входящих в  группу «Администраторы», является очень распространенной ошибкой. Чаще всего некоторая часть вины в этом лежит на компьютерных фирмах — они, как правило, устанавливают Windows на продаваемые компьютеры с настройками по умолчанию и не задают паролей для учетной записи пользователя и администратора. Начинающие пользователи, в свою очередь, не знакомы с этой тонкостью, и после выхода в Интернет их компьютер оказывается открыт для злоумышленников. Поправить это достаточно просто — нужно поменять пароли. Установка пароля влечет за собой одно неудобство, особенно если речь идет о домашнем компьютере, — после каждой перезагрузки компьютера придется заново вводить пароль. Решить проблему можно, выполнив через меню Пуск–>Выполнить команду Control userpasswords2. В появившемся после выполнения данной команды диалоговом окне необходимо отключить опцию Требовать ввод имени пользователя и пароля и нажать ОК. После этого появится окно, содержащее запрос параметров автоматического входа в систему, — в нем необходимо ввести имя учетной записи и пароль. После выполнения данной настройки в ходе загрузки будет производиться автоматический вход в систему с указанными параметрами.

Для генерации  сложных с точки зрения подбора  и простых для запоминания  паролей можно посоветовать очень  простой и эффективный алгоритм: в качестве пароля необходимо придумать  русскую фразу, но ввести ее на английской раскладке клавиатуры без пробелов, начиная каждое слово с большой  буквы. Например, в качестве пароля выбираем фразу «ВрагНеПройдет» — при этом пароль соответственно будет «DhfuYtGhjqltn». Такой пароль устойчив к словарному перебору и может быть усилен добавлением цифр или более сложным алгоритмом чередования регистра символов.

Отключите в  свойствах сетевого соединения протоколы  и службы, не используемые при работе в Интернете

Для работы в Интернете и использования  электронной почты требуется  только один протокол — протокол Интернета (TCP/IP). Поэтому после создания сетевого соединения с провайдером Интернета  настоятельно рекомендуется отключить  в его свойствах службу доступа  к файлам и принтерам сетей  Microsoft и клиента для сетей Microsoft, что сделает невозможным доступ к файлам и папкам данного компьютера извне и защитит компьютер от многих распространенных видов сетевых атак.

Периодически  контролируйте настройки безопасности браузера

Использование настроек браузера по умолчанию и  отсутствие контроля за ними является весьма распространенной ошибкой. Следует учитывать, что настройки Internet Explorer хранятся в реестре и могут быть изменены вредоносными программами. В частности, известен ряд вредоносных программ, добавляющих один или несколько URL в список надежных узлов или понижающих текущий уровень безопасности.

Анализируйте ссылки перед переходом  по ним

Рекомендуется выработать простое правило: анализировать URL ссылок перед переходом по ним. Во всех популярных браузерах (в частности, в Internet Explorer, Opera и Mozilla Firefox) URL ссылки отображается в строке статуса при наведении курсора на ссылку. Даже поверхностный анализ адреса позволяет легко заметить, например, что ссылка ведет за пределы просматриваемого сайта.

Никогда не соглашайтесь с предложениями установить какие-либо компоненты, панели или модули расширения

Очень часто  в процессе просмотра интернет-страниц можно столкнуться с предложением установить некоторые модули расширения, компоненты и/или панели инструментов. Следует остерегаться таких предложений, поскольку подавляющее большинство из них является AdWare-приложениями или шпионскими программами. Наиболее агрессивно подобные приложения рекламируются на всевозможных сайтах, содержащих утилиты для взлома программ или генераторы серийных номеров к программам. Страницы таких сайтов могут содержать скрипты, производящие многократные попытки установки подобных компонентов.

Никогда не переходите по ссылкам из спамерских писем

Со спамом (нежелательной рассылкой рекламной  информации) рано или поздно сталкивается любой пользователь Интернета. Следует  учитывать, что ссылки в спамерских письмах могут вести на потенциально опасные сайты и применяться для различных видов атак и обмана (например, фишинга или межсайтового скриптинга). Кроме того, по статистике автора, зачастую при помощи спама производится рассылка ссылок на вредоносные программы.

Никогда не открывайте подозрительные вложения в  письмах электронной почты

В данном случае правило таково: необходимо крайне осторожно относиться ко всей получаемой корреспонденции. Говоря о подозрительных вложениях, следует акцентировать  внимание на нескольких распространенных методиках, нацеленных на введение пользователя в заблуждение. Первая методика состоит  в том, что исполняемый файл опознается системой не только по расширению, но и  по содержимому. Следовательно, если исполняемому файлу изменить расширение *.exe на *.com, то система все равно опознает в нем *.exe по внутреннему заголовку и корректно запустит его.

Вложение  очень похоже на URL сайта, что и  вводит начинающих пользователей в  заблуждение. На самом деле это исполняемый  файл, его имя www.z-oleg, а расширение — *.com. Для большего эффекта реальные вредоносные программы имеют иконку, визуально неотличимую от иконки ярлыка со ссылкой на веб-ресурс. Распознать такую ловушку несложно — для этого необходимо сохранить вложенный файл и просмотреть его содержимое в любом редакторе. Ссылка на веб-ресурс является небольшим текстовым файлом, содержащим внутри ссылку на сайт, а исполняемый файл является бинарным и в начале файла должна присутствовать сигнатура «MZ» (байты с кодами 4D 5A).

Другой распространенной методикой обмана пользователя является маскировка истинного расширения файла.Реальное расширение исполняемого файла — *.exe, а имя — «Мое фото.gif», причем перед расширением в имени файла присутствует около сотни пробелов. При отображении списка вложенных файлов имя усекается почтовым клиентом до первых 20-30 знаков, в результате чего реальное расширение не отображается. Подобной методикой активно пользуются различные почтовые вирусы и злоумышленники, рассылающие троянские программы.

В данном случае запуск вложения непосредственно из почтового клиента невозможен —  нужно, как минимум, открыть архив  и запустить находящееся там  приложение. Как правило, практикуется рассылка архивов, защищенных паролем. Пароль в этом случае указан в тексте письма, нередко в виде картинки. Все эти меры направлены против антивируса, поскольку существенно затрудняют проверку такого вложения.

Кроме рассылки архивов создатели вредоносного ПО в последнее время стали применять еще одну уловку — рассылку вредоносных скриптов или файлов справки формата CHM с вложенными скриптами и вредоносными программами.

Открытие HTA-файла  приводит к инсталляции (а иногда — к загрузке) вредоносной программы  и ее запуску. В процессе работы HTA-файл может отобразить какую-нибудь веб-страницу или сообщение об ошибке, чтобы отвлечь внимание пользователя от запуска вредоносной программы.

Осуществляйте контроль за BHO

Browser Helper Object (BHO) — это модули расширения браузера, чаще всего выполненные в виде панелей инструментов, расширяющих функции браузера. Устройство модуля расширения сравнительно простое, и разработать его может любой программист. Однако у BHO есть ряд свойств, о которых следует помнить:

  • BHO является библиотекой, которая загружается в контекст браузера. Как следствие, если вредоносная программа выполнена в виде BHO, то пользователь не сможет обнаружить процесс вредоносной программы — его попросту нет;
  • программный код BHO исполняется в контексте браузера, следовательно, с точки зрения брандмауэра и антивируса работа браузера и работа BHO — это одно и то же;
  • BHO может отслеживать посещаемые URL и обмениваться с Интернетом во время загрузки страниц и файлов, что затрудняет обнаружение посторонней сетевой активности;
  • сбои и ошибки в работе BHO могут приводить к нарушению работы браузера (нарушения работы могут быть различными, начиная от мелких сбоев и заканчивая аварийным закрытием браузера). Следовательно, при обнаружении сбоев в работе браузера в первую очередь стоит обратить внимание на BHO, особенно на те, происхождение которых неизвестно.

По статистике в виде BHO чаще всего выполняют  всевозможные AdWare-приложения. Они шпионят  за работой пользователя в Интернете  и могут отображать рекламную  информацию или модифицировать загружаемые  пользователем страницы, включая  в них рекламу или посторонние  ссылки.

Итак, как  же проанализировать, какие BHO установлены  и насколько они опасны? Для решения данной задачи существует множество различных утилит, однако для анализа удобнее применить диспетчер BHO AVZ.Его особенность состоит в том, что он не только отображает список установленных BHO и представляет типичный для подобных анализаторов сервис (сохранение списка, временное отключение BHO или их удаление), но и проверяет найденные модули расширения по базе безопасных расширений. Большинство распространенных безопасных BHO включено в эту базу и выделяется в списке зеленым цветом, что упрощает анализ. Кроме того, AVZ в ходе сигнатурного поиска и эвристической проверки системы опознает наиболее распространенные вредоносные BHO и модули расширения браузера.

Заключение

В данной статье рассмотрены основные моменты, связанные  с безопасностью при работе в  Интернете. В материале приведены  базовые рекомендации, основанные на практическом анализе реальных случаев  заражения компьютеров пользователей. В заключение можно сказать, что  в случае наличия на компьютере пользователя правильно настроенного брандмауэра, обновляемого антивируса и соблюдения пользователем описанных в статье правил безопасности обеспечивается почти  стопроцентная защита компьютера от вредоносных программ и нежелательных  приложений типа AdWare и SpyWare.


Безопасность в интернете. 2