Безопасность. Какой вопрос вам мучает?
Думаю, что у каждого при чтении специализированной литературы возникали вопросы по поводу тех или иных терминов. Но, как правило, поблизости обычно нет того, кто может объяснить их значение. Проблемы возникают из-за непонимания простых вещей. Ведь неправильная трактовка или неправильное понимание может косвенным образом повлиять на многие важные вещи. Поэтому я предлагаю попробовать разобраться в некоторых мелочах мира информационной безопасности.
Очень интересно, как работает антивирусная программа, а особенно кикам образом используется антивирусная база? Из чего она состоит, насколько можно доверять результатам сканирования?
Все намного проще, чем вы думаете. Антивирусная база (а если более точно, то вирусная) складывается из вирусных сигнатур, которые при процессе проверки сравниваются с кодом проверяемого файла. Насколько можно доверять результатам? Это зависит от качества движка и эвристики. Поскольку при сканировании коды некоторых файлов могут быть очень и очень похожими на одну из сигнатур, то ложные срабатывания вполне объяснимы и присутствуют.
До тех пор, пока не подцепил первого вируса, вопрос безопасности не беспокоил вообще. После стал обращать на нее больше внимания. Хотелось бы спросить вашего совета по выбору сетевого экрана. На что следует обращать внимание при его выборе?
В отличие от программы-антивируса, net-экран требует тонкой настройки. Поэтому пользователь должен четко знать, какие сервисы ему необходимы, и, соответственно, какие порты закрывать. Именно поэтому плохих файрволлов не бывает — бывают только плохо настроенные. И все же они делятся на профессиональные и пользовательские. Отличаются они тем, что у профессиональных огромное количество настроек, и при этом ручных, а в пользовательских все максимально автоматизировано. Пользовательский экран не может максимально защитить пользователя просто потому, что он представляет собой что-то общее, а каждый пользователь имеет свои запросы, у каждой системы свои уязвимые места. Поэтому я советую использовать профессиональные. Из конкретных могу посоветовать ZoneAlarm, Outpost, Norton Internet security. Будьте готовы к тому, что придется убить кучу времени, прежде чем net-экран заработает нормально.
На сайтах антивирусных лабораторий размещены бесплатные антивирусные утилиты. Действительно ли они помогают при заражении вирусом? Стоит ли ими пользоваться?
Дело в том, что эти утилиты специализированы и помогают только против одного вредоносного кода. Против той вредоносной программы, для уничтожения которой они предназначены, они очень эффективны, но ничего не могут сделать против других. Некоторые предназначены для борьбы сразу с семейством кодов. Таким образом, от них есть толк только в том случае, если вы точно знаете, чем заражена ваша машина.
После удаления пятого Касперского при установке антивируса Аваст выскочило сообщение, что Аваст не может работать с Касперским в паре (хотя последний удален). Что с этим делать?
Некоторое программное обеспечение при деинсталляции не удаляет записи в системном реестре — в таком случае их необходимо удалять вручную. Но с Касперским такого рода проблемы могут быть только если при его деинсталлировании была допущена ошибка, вследствие которой ключ не удалился. Ветви: Curren_user и Local_machine. Также причиной могла послужить неправильная деинсталляция (например, просто удаление папки).
Может ли вирус, троян или другая вредоносная программа изменить данные в антивирусной базе для предотвращения своего обнаружения? Если да, то какие вредные программы это делают и какие программы защиты больше всего этому подвержены?
Вредоносный код не может каким-либо образом изменить антивирусную базу, он может только удалить ее целиком, и то это невозможно, поскольку резидентный сканер постоянно использует базу. У каждой антивирусной корпорации базы пишутся особенным методом, так что для написания вируса, о котором вы спрашиваете, необходимо знание всех этих методов, а они не выносятся (обычно) за стены компаний. Большинство программ последних двух- трех поколений обладают механизмом анализа и защиты целостности своего кода. Однако у вредоносного ПО (у некоторых его представителей) имеются механизмы защиты (как пример можно привести полиморф-вирусы, стелс-вирусы) от обнаружения. Надеюсь, я полно ответил на ваш вопрос. Если есть какие-то нюансы, которые я не огласил, пишите — или оставляйте вопрос на форуме сайт .
Слышал от многих, что при работе с ресурсоемкими программами для ускорения работы компьютера можно отключить антивирусную программу, если не находишься в сети и не работаешь с CD/ROM. Безопасно ли это?
В принципе, да. Если вы не подключены к сети и не используете оптический привод, то можете смело отключать антивирус. Но вирус может находиться на вашем винчестере, поэтому, если вы часто отключаете антивирус, то привейте себе привычку часто проверять систему антивирусным сканером. Вирус может находиться в "состоянии покоя", в котором он не определяется сканером. После вы запустите программу и нечаянно его активируете (конечно, это необязательно случится). Поэтому чаще сканируйте систему, и, если уверены, что сама система чиста, можете смело отключать… Вирус сам не материализуется:).
А где конкретно хранятся пароли в операционной системе Windows?
Есть несколько мест, где они хранятся. В первую очередь это реестр. Пароли там хранятся в ветке HKLM\Security\Policy\Secrets\Default Password в зашифрованном виде. Также пароли находятся в SAM-файле, который может быть зашифрован системной утилитой syskey. После шифровки данной утилитой взлом этого файла становится крайне проблематичным.
Как узнать открытые порты на моем компьютере? Каким образом закрыть ненужные?
Узнать открытые порты можно двумя способами. Первый — используя команду netstat с параметром –an в командной строке. Пожалуй, это будет наиболее просто. Второй способ требует дополнительных программ. Вам потребуется сканер портов, который можно найти на любом софтовом портале, и необходимо просканировать свой хост (желательно снаружи).
Что такое RSA?
Это асимметричная система шифрования, названная в честь ее разработчиков: Ривеста (Rivest), Шамира (Shamir) и Эдельмана (Adleman). RSA является наиболее известной, проверенной и изученной асимметричной системой шифрования.
Чем обусловлена скорость обновления баз антивирусов?
Дело в том, что, помимо появления новых вирусов, имеются еще и те, которые по тем или иным причинам не попадали еще в руки антивирусных лабораторий. Так что работа у них есть всегда, соответственно и происходят обновления. Обычно это каждые тридцать минут.
Какой лучше всего выбрать параметр при шифровке SAM-файла утилитой syskey?
Лучше всего выбрать хранение ключа расшифровки на дискете, т.к. отсутствие ключа на жестком диске делает практически невозможной расшифровку файла, а значит, и извлечение паролей. Конечно, если вы выберете хранение на винчестере, то трудности при расшифровке тоже будут. Однако максимальный эффект дает хранение на дискете.
На этом все. Жду ваших вопросов на e-mail: q@sa-sec.org
Евгений Кучук
Очень интересно, как работает антивирусная программа, а особенно кикам образом используется антивирусная база? Из чего она состоит, насколько можно доверять результатам сканирования?
Все намного проще, чем вы думаете. Антивирусная база (а если более точно, то вирусная) складывается из вирусных сигнатур, которые при процессе проверки сравниваются с кодом проверяемого файла. Насколько можно доверять результатам? Это зависит от качества движка и эвристики. Поскольку при сканировании коды некоторых файлов могут быть очень и очень похожими на одну из сигнатур, то ложные срабатывания вполне объяснимы и присутствуют.
До тех пор, пока не подцепил первого вируса, вопрос безопасности не беспокоил вообще. После стал обращать на нее больше внимания. Хотелось бы спросить вашего совета по выбору сетевого экрана. На что следует обращать внимание при его выборе?
В отличие от программы-антивируса, net-экран требует тонкой настройки. Поэтому пользователь должен четко знать, какие сервисы ему необходимы, и, соответственно, какие порты закрывать. Именно поэтому плохих файрволлов не бывает — бывают только плохо настроенные. И все же они делятся на профессиональные и пользовательские. Отличаются они тем, что у профессиональных огромное количество настроек, и при этом ручных, а в пользовательских все максимально автоматизировано. Пользовательский экран не может максимально защитить пользователя просто потому, что он представляет собой что-то общее, а каждый пользователь имеет свои запросы, у каждой системы свои уязвимые места. Поэтому я советую использовать профессиональные. Из конкретных могу посоветовать ZoneAlarm, Outpost, Norton Internet security. Будьте готовы к тому, что придется убить кучу времени, прежде чем net-экран заработает нормально.
На сайтах антивирусных лабораторий размещены бесплатные антивирусные утилиты. Действительно ли они помогают при заражении вирусом? Стоит ли ими пользоваться?
Дело в том, что эти утилиты специализированы и помогают только против одного вредоносного кода. Против той вредоносной программы, для уничтожения которой они предназначены, они очень эффективны, но ничего не могут сделать против других. Некоторые предназначены для борьбы сразу с семейством кодов. Таким образом, от них есть толк только в том случае, если вы точно знаете, чем заражена ваша машина.
После удаления пятого Касперского при установке антивируса Аваст выскочило сообщение, что Аваст не может работать с Касперским в паре (хотя последний удален). Что с этим делать?
Некоторое программное обеспечение при деинсталляции не удаляет записи в системном реестре — в таком случае их необходимо удалять вручную. Но с Касперским такого рода проблемы могут быть только если при его деинсталлировании была допущена ошибка, вследствие которой ключ не удалился. Ветви: Curren_user и Local_machine. Также причиной могла послужить неправильная деинсталляция (например, просто удаление папки).
Может ли вирус, троян или другая вредоносная программа изменить данные в антивирусной базе для предотвращения своего обнаружения? Если да, то какие вредные программы это делают и какие программы защиты больше всего этому подвержены?
Вредоносный код не может каким-либо образом изменить антивирусную базу, он может только удалить ее целиком, и то это невозможно, поскольку резидентный сканер постоянно использует базу. У каждой антивирусной корпорации базы пишутся особенным методом, так что для написания вируса, о котором вы спрашиваете, необходимо знание всех этих методов, а они не выносятся (обычно) за стены компаний. Большинство программ последних двух- трех поколений обладают механизмом анализа и защиты целостности своего кода. Однако у вредоносного ПО (у некоторых его представителей) имеются механизмы защиты (как пример можно привести полиморф-вирусы, стелс-вирусы) от обнаружения. Надеюсь, я полно ответил на ваш вопрос. Если есть какие-то нюансы, которые я не огласил, пишите — или оставляйте вопрос на форуме сайт .
Слышал от многих, что при работе с ресурсоемкими программами для ускорения работы компьютера можно отключить антивирусную программу, если не находишься в сети и не работаешь с CD/ROM. Безопасно ли это?
В принципе, да. Если вы не подключены к сети и не используете оптический привод, то можете смело отключать антивирус. Но вирус может находиться на вашем винчестере, поэтому, если вы часто отключаете антивирус, то привейте себе привычку часто проверять систему антивирусным сканером. Вирус может находиться в "состоянии покоя", в котором он не определяется сканером. После вы запустите программу и нечаянно его активируете (конечно, это необязательно случится). Поэтому чаще сканируйте систему, и, если уверены, что сама система чиста, можете смело отключать… Вирус сам не материализуется:).
А где конкретно хранятся пароли в операционной системе Windows?
Есть несколько мест, где они хранятся. В первую очередь это реестр. Пароли там хранятся в ветке HKLM\Security\Policy\Secrets\Default Password в зашифрованном виде. Также пароли находятся в SAM-файле, который может быть зашифрован системной утилитой syskey. После шифровки данной утилитой взлом этого файла становится крайне проблематичным.
Как узнать открытые порты на моем компьютере? Каким образом закрыть ненужные?
Узнать открытые порты можно двумя способами. Первый — используя команду netstat с параметром –an в командной строке. Пожалуй, это будет наиболее просто. Второй способ требует дополнительных программ. Вам потребуется сканер портов, который можно найти на любом софтовом портале, и необходимо просканировать свой хост (желательно снаружи).
Что такое RSA?
Это асимметричная система шифрования, названная в честь ее разработчиков: Ривеста (Rivest), Шамира (Shamir) и Эдельмана (Adleman). RSA является наиболее известной, проверенной и изученной асимметричной системой шифрования.
Чем обусловлена скорость обновления баз антивирусов?
Дело в том, что, помимо появления новых вирусов, имеются еще и те, которые по тем или иным причинам не попадали еще в руки антивирусных лабораторий. Так что работа у них есть всегда, соответственно и происходят обновления. Обычно это каждые тридцать минут.
Какой лучше всего выбрать параметр при шифровке SAM-файла утилитой syskey?
Лучше всего выбрать хранение ключа расшифровки на дискете, т.к. отсутствие ключа на жестком диске делает практически невозможной расшифровку файла, а значит, и извлечение паролей. Конечно, если вы выберете хранение на винчестере, то трудности при расшифровке тоже будут. Однако максимальный эффект дает хранение на дискете.
На этом все. Жду ваших вопросов на e-mail: q@sa-sec.org
Евгений Кучук
Компьютерная газета. Статья была опубликована в номере 03 за 2008 год в рубрике безопасность