Безопасность персонального компьютера
Окончание. Начало в КГ №№ 36, 37, 38
Акт 4: Рихтовка и поддерживание машины в защищенном виде
Сделано достаточно много, но тех, кто думает, что работа подошла к концу, могу разочаровать. Да, мы сделали немало для того, чтобы машина должным уровнем была защищена, но это, к сожалению, не все. Мало того, поддерживать ее в таком — защищенном — виде — непростая задача. Именно поэтому пользователю придется внимательно следить за новостями в мире безопасности. В данном случае время между выходом заплатки на уязвимость и установкой ее на компьютер напрямую будет зависеть от него. Поэтому советую держать ухо востро.
Сразу хочу сказать, что на Windows Update рассчитывать нечего. Он мало того, что загружает уйму ненужных вещей, так еще и Microsoft corp. через него проверяет подлинность операционных систем, стоящих на машинах, а если не кривить душой, то у большинства стоит ОП совсем не лицензионная… Исходя их этого, советую качать заплатки вручную, естественно, с официального сайта. Поскольку сайт "Майкрософта" довольно запутан, и в нем не каждый разберется (даже в русском), предоставляю ссылку на страницу, с которой непосредственно возможна скачка заплаток: сайт Также я бы посоветовал обновлять компоненты винды, всякие "офисы" и т.д., так как через их дырки тоже лезет всякая "нечысть". За ситуацией в мире "IT security" поможет следить русский сайт под названием Security Lab ( сайт ) — там вы сможете найти все новости в области безопасности информационных технологий. Сайт предоставляет качественную информацию, при этом индекс его обновлений весьма высок. Очень неплохо будет, если вы будете пользоваться ревизором. Программа-ревизор фиксирует изменения файлов, связанные с размером, датой создания и т.д., а также реагирует на появление новых файлов. Таким образом, она реагирует тогда, когда молчит антивирус. Ревизор неплохо справляется с полиморфными вирусами, стелс- вирусами и др. Как вариант можно предложить программу ADinf32 производства компании "Диалог-Наука". ADinf32 проста в обращении и работает с наименьшим количеством ложных срабатываний (хотя у ревизоров он в принципе достаточно высок). Используя ревизор, вы построите на пути вредоносного кода еще одну баррикаду, которую не так-то легко обойти незамеченным;)…
Есть еще одна интересная вещь, о которой, ручаюсь, слышали все. Это сетевые сканеры. Безусловно, полезнейшая штуковина: выбрал IP, просканировал и узнал обо всех "отверстиях", не прикрытых нерадивым пользователем. Однако сканеры можно (и нужно) использовать для обнаружения и прикрытия этих самых "отверстий". А если сканер расскажет, каким образом можно их прикрыть, то ему вообще цены нет! Именно такой я и хочу вам сегодня представить. Итак, программа XSpider 7.5. Она практически незаменима при так называемой "доводке уровня безопасности" (авт.). Простой и, что немаловажно, русский интерфейс позволит без труда работать и неопытному пользователю. Ну, а теперь поподробней рассмотрим возможности программы. Использовать ее можно и не регистрируя (на демо-лицензии разрешено около тысячи сканингов). Однако в демо-версии запрещено довольно много хороших вещей:
. Отсутствует система ежедневного онлайнового обновления.
. Отсутствуют проверки на потенциально опасные DoS-уязвимости.
. Проверки содержимого веб-серверов на предмет SQL-инъекций, инъекций кода, получения файлов и т.д. не содержат деталей.
. Отсутствует целый ряд проверок, использующих оригинальные эвристические механизмы.
. Отсутствуют проверки, связанные с использованием различных словарей.
. Планировщик заданий имеет полноценный интерфейс, но не сохраняет созданные расписания.
. Генерируемые отчеты содержат только резюме по реальному сканированию, в теле отчета — стандартный демонстрационный фрагмент.
. История сканирований доступна только для общего просмотра, старые результаты нельзя использовать для последующей работы.
Тут, бесспорно, full-версия лучше, но наша машина — не сервер Пентагона, и вряд ли на ней будет акцентировано внимание мира хакеров. Исходя из этого, можно быть уверенным, что всякого рода изощренных атак не предвидится, а в бета-версии есть все необходимое для определения "стандартных дырок". К особенностям программы можно отнести емкие информационные пояснения по каждой из найденных уязвимостей. Именно это и делает программу XSpider 7.5 такой полезной… Итак, основная область программы делится на две части: левую и правую. В левой отображаются IP-адреса сканируемых хостов и порты, по которым пробежался "паучок". В правой — информация о хосте (при выбранном в левой части IP-адресе) и о порте с его уязвимостями (при выбранном в левой части номере орта), конечно, если таковые имеются.
Разобраться в интерфейсе управления тоже труда не составит. Для ввода конкретного адреса хоста необходимо кликнуть по изображению мониторчика с плюсиком, для ввода диапазона адресов — по изображению двух мониторчиков с плюсиком. Хотите просканировать один хост — нажмите на характерную для такого рода функций стрелочку вправо, а если возникло желание просканировать все хосты в указанном диапазоне IP-адресов — нажмите такую же стрелочку, но только с двумя горизонтальными линиями. При старте сканинга программа сначала пробегается по TCP-портам и заносит доступные в список, а потом по UDP — проделывает то же самое. После она приступает к проверке найденных портов на наличие уязвимостей. После выполнения проверки все найденные бреши разделяются на три уровня опасности: низкий, средний и высокий. При этом каждому уровню соответствует свой цвет: зеленый, желтый и красный соответственно. Для большего удобства имеется вкладка под именем "Уязвимости". При ее нажатии на экране отображаются все уязвимости, обнаруженные на данном хосте. Двойным кликом жмем на каждую уязвимость и получаем ее описание и руководство по устранению. Таким образом, Xspider 7.5 является весьма удобным инструментом: просканировал и исправил без каких-либо проблем. Проще простого.
Хочу обратить ваше внимание на то, что базы уязвимостей данного программного девайса постоянно обновляются. Поэтому, если вы решили пользоваться бета-версией, то необходимо будет постоянно скачивать обновленные версии программы со свежими базами. Я бы советовал обязательно пройтись по машине такого рода сканером, после чего действительно можно вздохнуть спокойно, так как работа по обеспечению безопасности подошла к концу. Напоследок хотел бы дать парочку советов тем, кому не совсем подходит полная изоляция:
1. Тем, кому необходимо сделать в сети общие ресурсы, можно посоветовать следующие варианты. Самый оптимальный и безопасный вариант подойдет только тем, у кого достаточно места на жестком диске. Делается все предельно просто: посредством программы "Патишион мейджик" делается раздел определенного размера, после к нему открывается общий доступ и кидаются файлы, к которым, на ваш взгляд, можно разрешить всеобщий доступ. Таким образом, создается своеобразный буфер обмена: ваши знакомые берут себе все необходимое из этого раздела и
записывают на него необходимое вам. Ну, а если с местом напряженка, то можно открыть доступ на любом разделе, но к папкам, в которых хранятся общедоступные файлы.
2. Никогда не работайте в сети из аккаунта администратора. Даже если вашу защиту обойдут, то, получив доступ с правами пользователя, никто не сможет сделать ничего действительно плохого.
3. Всегда проверяйте внешние накопители. Да, конечно, вирус вирусом, но гораздо страшнее backdoor, который откроет лазейку для
злоумышленника. Поэтому не пожалейте несколько минуток и просканируйте накопитель.
4. Не открывайте e-mail-аттачменты, не проверив их предварительно. Ни для кого не секрет, что посредством интернет-рассылки
распространяются не только черви, но и другие вредоносные коды.
5. Если одна из используемых вами программ перестала открываться или при попытке ее открыть выскакивает сообщение следующего характера: "Abnormal termination of the program", то, скорее всего, эта программа заражена.
6. Если вы хотите скрыть свой IP-адрес от посторонних глаз, то лучшим выходом для вас будет использование прокси-серверов, список которых вы сможете найти на сайте сайт
7. Также я бы посоветовал отключить в настройках браузера активные компоненты, к коим относятся Java scripts и ActiveX. Активное содержимое может стать грозным оружием в руках знающего человека.
8. При обнаружении вредоносного кода немедленно принимайте решения о его ликвидации, лечении или помещении в карантин, так как многие вирусы способны в достаточно короткие сроки заразить большое количество файлов. Недавно на добровольце (спасибо Александру Сергеевичу;- )) тестировал достаточно интересный экземпляр, так он в течение 8-9 часов заразил 1020 файлов (при этом все зараженные становятся телом вируса) и повредил операционную систему.
9. Шифруйте важные файлы. Пускай это доставит некоторые неудобства, но все равно это будет способствовать их сохранности и, что очень важно, конфиденциальности. Хочу заметить, что, если у вас файловая система NTFS, то шифровать можно и встроенными в Windows средствами, но это невозможно c FAT32.
10. Контролируйте доступ к вашему компьютеру при помощи программы-кейлоггера. Но при этом имейте в виду, что данный программный девайс будет пристально наблюдать и за вами — не сделайте себе хуже.
11. При работе с электронной почтой не пользуйтесь встроенными средствами и программами, входящими в пакет Office. Лучше юзать The Bat! — побезопасней будет. Не сохраняйте почтовые пароли в программных модулях — они могут стать общим достоянием. Пускай это немного неудобно, но вводите их вручную при каждом сеансе.
На этом все… Ваша машина защищена с минимальными вложениями средств. Конечно, это не все возможное — существует множество нюансов, посредством которых безопасность настраивается куда более тонко, чем это сделали мы, но, как я уже говорил, домашний компьютер — не сервер Пентагона. Поэтому делать его суперзащищенным просто нет смысла.
Удачи…
Евгений Кучук, Spider Agent, spideragent@tut.by
Акт 4: Рихтовка и поддерживание машины в защищенном виде
Сделано достаточно много, но тех, кто думает, что работа подошла к концу, могу разочаровать. Да, мы сделали немало для того, чтобы машина должным уровнем была защищена, но это, к сожалению, не все. Мало того, поддерживать ее в таком — защищенном — виде — непростая задача. Именно поэтому пользователю придется внимательно следить за новостями в мире безопасности. В данном случае время между выходом заплатки на уязвимость и установкой ее на компьютер напрямую будет зависеть от него. Поэтому советую держать ухо востро.
Сразу хочу сказать, что на Windows Update рассчитывать нечего. Он мало того, что загружает уйму ненужных вещей, так еще и Microsoft corp. через него проверяет подлинность операционных систем, стоящих на машинах, а если не кривить душой, то у большинства стоит ОП совсем не лицензионная… Исходя их этого, советую качать заплатки вручную, естественно, с официального сайта. Поскольку сайт "Майкрософта" довольно запутан, и в нем не каждый разберется (даже в русском), предоставляю ссылку на страницу, с которой непосредственно возможна скачка заплаток: сайт Также я бы посоветовал обновлять компоненты винды, всякие "офисы" и т.д., так как через их дырки тоже лезет всякая "нечысть". За ситуацией в мире "IT security" поможет следить русский сайт под названием Security Lab ( сайт ) — там вы сможете найти все новости в области безопасности информационных технологий. Сайт предоставляет качественную информацию, при этом индекс его обновлений весьма высок. Очень неплохо будет, если вы будете пользоваться ревизором. Программа-ревизор фиксирует изменения файлов, связанные с размером, датой создания и т.д., а также реагирует на появление новых файлов. Таким образом, она реагирует тогда, когда молчит антивирус. Ревизор неплохо справляется с полиморфными вирусами, стелс- вирусами и др. Как вариант можно предложить программу ADinf32 производства компании "Диалог-Наука". ADinf32 проста в обращении и работает с наименьшим количеством ложных срабатываний (хотя у ревизоров он в принципе достаточно высок). Используя ревизор, вы построите на пути вредоносного кода еще одну баррикаду, которую не так-то легко обойти незамеченным;)…
Есть еще одна интересная вещь, о которой, ручаюсь, слышали все. Это сетевые сканеры. Безусловно, полезнейшая штуковина: выбрал IP, просканировал и узнал обо всех "отверстиях", не прикрытых нерадивым пользователем. Однако сканеры можно (и нужно) использовать для обнаружения и прикрытия этих самых "отверстий". А если сканер расскажет, каким образом можно их прикрыть, то ему вообще цены нет! Именно такой я и хочу вам сегодня представить. Итак, программа XSpider 7.5. Она практически незаменима при так называемой "доводке уровня безопасности" (авт.). Простой и, что немаловажно, русский интерфейс позволит без труда работать и неопытному пользователю. Ну, а теперь поподробней рассмотрим возможности программы. Использовать ее можно и не регистрируя (на демо-лицензии разрешено около тысячи сканингов). Однако в демо-версии запрещено довольно много хороших вещей:
. Отсутствует система ежедневного онлайнового обновления.
. Отсутствуют проверки на потенциально опасные DoS-уязвимости.
. Проверки содержимого веб-серверов на предмет SQL-инъекций, инъекций кода, получения файлов и т.д. не содержат деталей.
. Отсутствует целый ряд проверок, использующих оригинальные эвристические механизмы.
. Отсутствуют проверки, связанные с использованием различных словарей.
. Планировщик заданий имеет полноценный интерфейс, но не сохраняет созданные расписания.
. Генерируемые отчеты содержат только резюме по реальному сканированию, в теле отчета — стандартный демонстрационный фрагмент.
. История сканирований доступна только для общего просмотра, старые результаты нельзя использовать для последующей работы.
Тут, бесспорно, full-версия лучше, но наша машина — не сервер Пентагона, и вряд ли на ней будет акцентировано внимание мира хакеров. Исходя из этого, можно быть уверенным, что всякого рода изощренных атак не предвидится, а в бета-версии есть все необходимое для определения "стандартных дырок". К особенностям программы можно отнести емкие информационные пояснения по каждой из найденных уязвимостей. Именно это и делает программу XSpider 7.5 такой полезной… Итак, основная область программы делится на две части: левую и правую. В левой отображаются IP-адреса сканируемых хостов и порты, по которым пробежался "паучок". В правой — информация о хосте (при выбранном в левой части IP-адресе) и о порте с его уязвимостями (при выбранном в левой части номере орта), конечно, если таковые имеются.
Разобраться в интерфейсе управления тоже труда не составит. Для ввода конкретного адреса хоста необходимо кликнуть по изображению мониторчика с плюсиком, для ввода диапазона адресов — по изображению двух мониторчиков с плюсиком. Хотите просканировать один хост — нажмите на характерную для такого рода функций стрелочку вправо, а если возникло желание просканировать все хосты в указанном диапазоне IP-адресов — нажмите такую же стрелочку, но только с двумя горизонтальными линиями. При старте сканинга программа сначала пробегается по TCP-портам и заносит доступные в список, а потом по UDP — проделывает то же самое. После она приступает к проверке найденных портов на наличие уязвимостей. После выполнения проверки все найденные бреши разделяются на три уровня опасности: низкий, средний и высокий. При этом каждому уровню соответствует свой цвет: зеленый, желтый и красный соответственно. Для большего удобства имеется вкладка под именем "Уязвимости". При ее нажатии на экране отображаются все уязвимости, обнаруженные на данном хосте. Двойным кликом жмем на каждую уязвимость и получаем ее описание и руководство по устранению. Таким образом, Xspider 7.5 является весьма удобным инструментом: просканировал и исправил без каких-либо проблем. Проще простого.
Хочу обратить ваше внимание на то, что базы уязвимостей данного программного девайса постоянно обновляются. Поэтому, если вы решили пользоваться бета-версией, то необходимо будет постоянно скачивать обновленные версии программы со свежими базами. Я бы советовал обязательно пройтись по машине такого рода сканером, после чего действительно можно вздохнуть спокойно, так как работа по обеспечению безопасности подошла к концу. Напоследок хотел бы дать парочку советов тем, кому не совсем подходит полная изоляция:
1. Тем, кому необходимо сделать в сети общие ресурсы, можно посоветовать следующие варианты. Самый оптимальный и безопасный вариант подойдет только тем, у кого достаточно места на жестком диске. Делается все предельно просто: посредством программы "Патишион мейджик" делается раздел определенного размера, после к нему открывается общий доступ и кидаются файлы, к которым, на ваш взгляд, можно разрешить всеобщий доступ. Таким образом, создается своеобразный буфер обмена: ваши знакомые берут себе все необходимое из этого раздела и
записывают на него необходимое вам. Ну, а если с местом напряженка, то можно открыть доступ на любом разделе, но к папкам, в которых хранятся общедоступные файлы.
2. Никогда не работайте в сети из аккаунта администратора. Даже если вашу защиту обойдут, то, получив доступ с правами пользователя, никто не сможет сделать ничего действительно плохого.
3. Всегда проверяйте внешние накопители. Да, конечно, вирус вирусом, но гораздо страшнее backdoor, который откроет лазейку для
злоумышленника. Поэтому не пожалейте несколько минуток и просканируйте накопитель.
4. Не открывайте e-mail-аттачменты, не проверив их предварительно. Ни для кого не секрет, что посредством интернет-рассылки
распространяются не только черви, но и другие вредоносные коды.
5. Если одна из используемых вами программ перестала открываться или при попытке ее открыть выскакивает сообщение следующего характера: "Abnormal termination of the program", то, скорее всего, эта программа заражена.
6. Если вы хотите скрыть свой IP-адрес от посторонних глаз, то лучшим выходом для вас будет использование прокси-серверов, список которых вы сможете найти на сайте сайт
7. Также я бы посоветовал отключить в настройках браузера активные компоненты, к коим относятся Java scripts и ActiveX. Активное содержимое может стать грозным оружием в руках знающего человека.
8. При обнаружении вредоносного кода немедленно принимайте решения о его ликвидации, лечении или помещении в карантин, так как многие вирусы способны в достаточно короткие сроки заразить большое количество файлов. Недавно на добровольце (спасибо Александру Сергеевичу;- )) тестировал достаточно интересный экземпляр, так он в течение 8-9 часов заразил 1020 файлов (при этом все зараженные становятся телом вируса) и повредил операционную систему.
9. Шифруйте важные файлы. Пускай это доставит некоторые неудобства, но все равно это будет способствовать их сохранности и, что очень важно, конфиденциальности. Хочу заметить, что, если у вас файловая система NTFS, то шифровать можно и встроенными в Windows средствами, но это невозможно c FAT32.
10. Контролируйте доступ к вашему компьютеру при помощи программы-кейлоггера. Но при этом имейте в виду, что данный программный девайс будет пристально наблюдать и за вами — не сделайте себе хуже.
11. При работе с электронной почтой не пользуйтесь встроенными средствами и программами, входящими в пакет Office. Лучше юзать The Bat! — побезопасней будет. Не сохраняйте почтовые пароли в программных модулях — они могут стать общим достоянием. Пускай это немного неудобно, но вводите их вручную при каждом сеансе.
На этом все… Ваша машина защищена с минимальными вложениями средств. Конечно, это не все возможное — существует множество нюансов, посредством которых безопасность настраивается куда более тонко, чем это сделали мы, но, как я уже говорил, домашний компьютер — не сервер Пентагона. Поэтому делать его суперзащищенным просто нет смысла.
Удачи…
Евгений Кучук, Spider Agent, spideragent@tut.by
Компьютерная газета. Статья была опубликована в номере 39 за 2006 год в рубрике безопасность