Самое главное о безопасности

Вы все еще думаете, что ваш ПК — ваша крепость, а кулхацкеры — это краснокнижные виды, эксплуатирующие исключительно серверы Пентагона и Мелкософт;-)?.. По итогам исследования, проведенного германской компанией Honey Net, которая объединяет группу исследователей, занимающихся проблемой безопасности Интернета, было установлено, что в настоящее время более миллиона компьютеров в Сети заражены пиратскими программами, рассылающими спам и вредоносные программы. Что самое интересное, так это то, что обычный смертный юзер может даже и не подозревать о том, что его компьютер превратился в "генератор зла"… В объеме данной статьи я постараюсь в доступной и эффективной форме указать на основные уязвимые места Windows-систем в контексте домашнего ПК, изложить эффективные методы защиты ПК от вредоносных программ, выстроив модель многоуровневой защиты.

Юзер тоже в деле…


Рисуем картину типичного юзера:
1) Непропатченная Wndows XP SP2 (это в лучшем случае… Как показывает статистика, очень многие до сих пор пользуются SP1).
2) Антивирусная защита — Kaspersky 5.0 (хорошо если с новыми базами).
3) Из файрволла — встроенный в Винду брандмауэр.
4) Текущая учетная запись для выхода в Интернет — с правами администратора.
5) Обозреватель — ослик IE (естественно, непропатченный).
6) Ко всему прочему, расшаренные по дефолту диски c, d...
Подводя итог: это не дырка — это целая нора…

Ставим, закрываем, патчим

Ошибки в Windows как обнаруживались, так и обнаруживаются, и ничего тут не поделать. Эпидемии Nimda, Red Code и MS Blast лишний раз показали миру "доброе" лицо BG. Непропатченная Винда — основной фактор уязвимости вашего ПК. Ни для кого не секрет, что большинство червей заражают систему именно благодаря наличию брешей, или, попросту говоря, дырок. Как яркое подтверждение сказанному хотелось бы упомянуть наиболее нашумевших представителей:
MS Blast (маленькое лирическое отступление: Lovesan — это второе название червя, наверное, более точное — в коде червя был обнаружен следующий текст: "Billy Gates why do you make this possible? Stop making money and fix your software!... I just want to say LOVE YOUR SAN!!" Именно благодаря фразе "Love your san" червь получил одно из своих названий) — заражает систему, эксплуатируя уязвимость в службе DCOM RPC (MS04-012). Модификации червя SdBot распространяются, эксплуатируя аж пять брешей, в том числе и вышеназванную. Черви семейства Sober и Sasser известны своими "гастрономическими пристрастиями" к службе LSASS, которую успешно "дерут" без ведома пользователя. Нашумевший в BBC червяк в этом отношении от своих собратьев ушел недалеко. Его излюбленная служба Plug and Play, а точнее, ее уязвимость, позволила этой твари удаленно выполнять произвольный код. Учитывая что большинство червей используют уязвимость на переполнение буфера, а служб и портов в Винде более чем достаточно (такая "незаурядная" ОС, как Windows, имеет в своем арсенале 65535 портов) — появление новых червей или модификаций старых, эксплуатирующих новые дырки, не заставит себя ждать…
Наилучшим решением из возможных, обеспечивающих пропатченность вашей Винды, можно считать заказ бесплатного диска с последними обновлениями через Интернет (проверено: диск пришел уже через две недели). Набираем в Google "заказать бесплатно диск Microsoft", а далее — дело техники. Многие пользователи, бродя по просторам Internet, используют ослика IE. Да что и говорить, я сам его использую. Не секрет, что непропатченный IE является хорошим объектом для атак извне. JavaScript, ActiveX, Dhtml и др. может быть успешно использовано для атаки, кражи файлов, удаления данных и т.п. В подтверждение вышесказанному приведу HTML-код, возможности которого при соответствующей доработке можно использовать весьма интересным образом:
<HTML>
<OBJECT CLASSID='CLSID:10000000'
CODEBASE='C:\Windows\system32\logoff.exe'>
</OBJECT>
<HTML>

(Код приведен исключительно в ознакомительных целях. Автор статьи не несет никакой ответственности за его использование не по назначению). Если вы до сих пор используете непропатченный IE, не замечая здоровую альтернативу среди таких продуктов, как Opera, Avant Browser, то стоит серьезно задуматься…

Что лучше? Выбираем антивирус

Вопрос о выборе антивирусного продукта неоднократно обсуждался на страницах КГ. В настоящее время среди freeware (shareware+crack тоже в счет;- )) можно выделить много достойных продуктов. Однако, как я лично сам убедился, учитывая результаты официальных и неофициальных тестирований, абсолютной защиты нет! При определенных условиях даже самый навороченный с толковой эвристикой, с модулем анализа подозрительного поведения программного кода антивирус может лечь. Многочисленные опыты с Optix Killer, boot- и stealth-вирусами — яркое тому подтверждение.

Крайне желательно, чтобы на вашем ПК были установлены две (или более;)) ОС. Зачем? Во-первых, удобно "препарировать" Винду. Во-вторых, наличие чистой среды при проверке зараженной более чем желательно, особенно если дело касается stelth-вирусов и быстро размножающихся червей. Лично сам использую два антивиря (на разных системах, естественно;)): Kaspersky Antivirus personal 5.0 + Panda Platinum 2005 Internet Security. Первый прельщает базами, хотя ни для кого не секрет, из чего они состоят… Panda 9.0 — анализом подозрительного поведения программного кода, защитой от неизвестных угроз, модулем самодиагностики и др. — в общем своей многофункциональностью. Вышеназванный ансамбль двух, не побоюсь этого слова, уважаемых антивирусных продуктов, конечно, есть good для вашей системы, только вот от самых новых вирусов они все равно вашу систему не спасут…

А вот тут-то и самое время вспомнить про старый добрый ревизор, который, в отличие от полифагов, не нуждается в базах. В пример хочу привести программу-ревизор Adinf, которой сам уже довольно давно пользуюсь. Принцип работы Adinf основан на сохранении в специальной базе основных данных о каждом логическом диске в системе. При первом запуске в таблицах запоминаются объем оперативной памяти, образы главного загрузочного сектора, других загрузочных секторов, список сбойных кластеров, структура дерева каталогов, длины и контрольные суммы файлов. Когда вирус заражает компьютер, он изменяет объект, в который внедряется исполняемый файл, главный загрузочный сектор, FAT-таблицу. Если ревизор обнаруживает на диске изменения, характерные для действия вируса, он предупреждает об этом пользователя. Важным отличием ADinf от других существующих программ-ревизоров является доступ к дискам без использования функций операционной системы. Такой метод доступа к жестким дискам позволяет успешно обнаруживать стелс-вирусы. Кроме борьбы с вирусами, ADinf следит за целостностью и сохранностью информации на жестком диске, выявляя все происходящие изменения.

У Вас файрволл есть? А как же! У меня стоит SP2!

Насчет иллюзий относительно SP2. Максимум, на что способен встроенный в SP2 мелкософтовский брандмауэр, — это отражать примитивнейшие атаки на ваш ПК десятилетних хакеров. От грамотной DOS-атаки с использованием хотя бы ICMP он даже не успеет сказать Astalavista baby! Многие возразят: "Какая еще DOS-атака! Мой компьютер не сервер Пентагона, а то, что я вылетаю с online каждые 15 минут, и скорость связи позорно мала — это плохая телефонная сеть. Оно-то так. Телефонная сеть во многих местах, мягко говоря, не очень. Только вот с нормальным файрволлом вы не будете вылетать из Сети каждые 15 минут, а ваш ПК не будут юзать все кому не лень в качестве прокси-сервера и рассыльщика спама.

Всех жаждущих вырваться в Сеть замечаешь только тогда, когда стоит что-нибудь приличное вроде Zone Alarm firewall (Хотя Agnitum и Agava тоже неплохой вариант;)). Использую Zone Alarm достаточно давно и хочу посоветовать этот продукт всем, кому нужен авторитетный смотрящий сетевой активности вашего ПК. Любая попытка вырваться в Сеть либо установить соединение из Сети, сканирование ваших портов регистрируется Zone Alarm с указанием порта и IP.

Администратор или пользователь? Пользователь!

Возьмите за привычку не работать в системе и, тем более, online с правами администратора. Помните, что любой вредоносный код имеет куда большие возможности, если запущен с правами администратора. Попробуйте отформатировать любой логический диск с правами юзера, и вы сразу поймете ценность вышесказанного совета.

Бойцев О.М. boyscout@gmail.ru


Компьютерная газета. Статья была опубликована в номере 50 за 2005 год в рубрике безопасность

©1997-2024 Компьютерная газета