Безопасность. Какой вопрос вас мучает?..

Продолжаем помогать тем, кому нужна помощь, и советовать тем, кому нужен совет.

Скажите, смогу ли я поставить два антивируса? Сейчас у меня стоит Symantec AntiVirus, хочу добавить Касперского.

Смело можете ставить Касперского. Они не конфликтуют. Хотя следует быть осторожными с установкой второй антивирусной программы. Т.к. очень часто они "ругаются" друг на друга. Например, если установить Касперского с Доктор веб, то при перезагрузке вас ожидает голубой экран смерти. Если установить Аваст и Касперского, то Аваст просто откажется работать. Как видите, проблемы могут быть как большие, так и маленькие. Если вдруг ваша система перестала грузиться после установки второго антивируса, то ваши действия следующие: загружаетесь в безопасном режиме и удаляете антивирус, который доустановили.

Слышал от многих, что при работе с ресурсоемкими программами для ускорения работы компьютера можно отключить антивирусную программу, если не находишься в сети и не работаешь с CD/ROM. Безопасно ли это?

В принципе, да. Если вы не подключены к сети и не используете оптический привод, то можете смело отключать антивирус. Но вирус может находиться на вашем винчестере, поэтому, если вы часто отключаете антивирус, привейте себе привычку часто проверять систему антивирусным сканером. Вирус может находиться "в состоянии покоя", в котором он не определяется сканером. После вы запустите программу и нечаянно его активируете (конечно, это случится не обязательно). Поэтому чаще сканируйте систему и, если уверены, что сама система чиста, то можете смело отключать… Вирус сам не материализуется:).

Стоит ли на пользовательском компьютере применять программу — сканер хостов и портов типа XSpider — ресурсы потребляет, а эффект?..

Особо часто не следует. Хотя это по желанию самого пользователя. Ресурсов она потребляет не сильно много, скорее трафика… Очень полезно будет юзать ее время от времени. Я бы советовал применять ее при настройке безопасности системы (особенно XSpider). Очень полезно плюс практически все уязвимости как на ладони. Используя сканер, можно очень хорошо обезопасить систему.

Установил программу, скачанную из сети. Антивирус (стоит NAV) не определяет ее как вредоносную, хотя при сканировании SpywareDoctor она попала в разряд последних. Как быть?

Лучше всего взяться за дизассемблер… А проще всего просканировать третьей программой. Желательно той, о которой все хорошо отзываются. Я бы советовал Kaspersky, Panda, NOD32 или MCAfee. Я же думаю, что SpywareDoctor тут прав…

Пользуюсь BitDefender 9 Professional Plus. Там встроенный сетевой экран с функцией "контроль дозвона". Так вот, когда дозваниваюсь в Интернет через программу-дозвонщик, файрволл срабатывает и пишет, что программа эта пытается звонить по такому-то номеру и запрашивает действие. А когда звоню просто через подключение удаленного доступа, то файрволл никак не реагирует и спокойно дает звонить. В чем может быть причина?

Ну, если в этой функции есть параметр типа "доверенные программы" или что-то с тем же смыслом, то посмотрите там. Виндосовский дозвонщик может быть просто занесен в этот список, что, соответственно, позволяет ему свободно дозваниваться. Также он мог быть добавлен в этот список при написании этого модуля… Именно поэтому его не задерживает модуль антидозвона.

А где конкретно хранятся пароли в операционной системе Windows?

Есть несколько мест, где они хранятся. В первую очередь это реестр. Пароли там хранятся в ветке HKLM\Security\Policy\Secrets\Default Password в зашифрованном виде. Также пароли находятся в SAM-файле, который может быть зашифрован системной утилитой syskey. После шифровки данной утилитой взлом этого файла становится крайне проблематичным.

Как узнать открытые порты на моем компьютере? Каким образом закрыть ненужные?

Узнать открытые порты можно двумя способами. Первый — используя команду netstat с параметром -an в командной строке. Пожалуй, это будет наиболее просто. Второй способ требует дополнительных программ. Вам потребуется сканер портов, который можно найти на любом софтовом портале, и необходимо просканировать свой хост (желательно снаружи).

Что такое RSA?

Это асимметричная система шифрования, названная в честь ее разработчиков: Ривеста (Rivest), Шамира (Shamir) и Эдельмана (Adleman). RSA является наиболее известной, проверенной и изученной ассиметричной системой шифрования.

Чем обусловлена скорость обновления баз антивирусов?

Дело в том, что, помимо появления новых вирусов, имеются еще и те, которые по тем или иным причинам не попадали еще в руки антивирусных лабораторий. Так что работа у них есть всегда, соответственно и происходят обновления. Обычно это каждые 30 минут…

Какой лучше всего выбрать параметр при шифровке SAM-файла утилитой syskey?

Лучше всего выбрать хранение ключа расшифровки на дискете, т.к. отсутствие ключа на жестком диске делает практически невозможной расшифровку файла, а значит, и извлечение паролей. Конечно, если вы выберете хранение на винчестере, то трудности при расшифровке тоже будут. Однако максимальный эффект дает хранение на дискете.

Мой сетевой экран постоянно сообщает мне о RST-атаках. За мной кто-то следит? Но я слышал, что такие сообщения могут быть и ложными.

RST — это не обязательно настоящая атака. Существует возможность сброса установленного TCP-подключения с помощью посылки соответствующих TCP- пакетов с набором флагов RST или SYN. Подробно про то, как действительно используют эту уязвимость, можно прочитать на секлабе: сайт . Но это в теории. В реальности чаще всего это ложная тревога.

Если в двух словах, то при серфинге Интернета, согласно TCP-протоколу, ваш компьютер посылает пакеты с какого-нибудь порта (хочу заметить, с любого произвольного порта) на сервер и ожидает ответа. Если ответа нет, соединение закрывается. Но есть одно "но": все пакеты шлются через множество серверов, и один из них, в том числе и тот сайт, к которому вы обращаетесь, может просто протормозить с ответом. В итоге, когда он таки вспомнит про вас, то пришлет пакет с этим самым флагом RST на, увы, уже закрытый порт. А любые пакеты на закрытые порты файрволл (аутпост в частности) воспринимает как попытку сканирования, о чем тебе и сообщает.

Как определить, настоящая это атака, или нет? Посмотреть whois ip, с которого была "атака" (www.whois-service.ru). Если это обычный сайт вроде yandex.ru или xakep.ru, то имеет место быть именно та ситуация, которую я описал: скорее всего, вы сидите за каким-нибудь тормозным прокси- сервером. Если же это какой-нибудь подозрительный сайт, на котором вы ни разу не были или же ip вообще не имеет домена, тогда бейте тревогу. Вот и все на сегодня, жду ваших вопросов. Все, что не совсем понятно или непонятно вообще. К вашим услугам, как всегда, мой e-mail и форум ресурса SASecurity portal. Ждем ваших вопросов. Также попрошу давать как можно полно сконфигурированные вопросы и максимум информации по теме вопроса.

P.S.: на форуме портала SASecurity ( сайт ) идет обсуждение правил обеспечения безопасности компьютера. Вы тоже можете поучаствовать в обсуждении и предложить свои дополнения к правилам.

Евгений Кучук, Spider Agent, spideragent@tut.by


Компьютерная газета. Статья была опубликована в номере 09 за 2007 год в рубрике безопасность

©1997-2024 Компьютерная газета