Часть 1 Техника безопасности в Интернет для начинающих сёрфить(1)
Разве сторож я компьютеру своему? (почти библейский текст)
Совсем недавно, всего лишь сотню лет назад, на географических картах были участки, окрашенные в белый цвет. Просто о том, что там находится, никто достоверно не знал. А ещё раньше на этих белых пятнах писали: "Опасно! Здесь водятся драконы!".
Но уже через сотню лет спутники со своей орбиты смогли "раскрасить" весь земной шар - и при этом не было обнаружено ни одного живого дракона. До последнего времени :
Но вот буквально десять лет назад появился новый мир - виртуальный. Который мы называем Интернетом. Этот мир для входящего в него - практически сплошное белое пятно. Да и "драконы" там водятся - настоящие и очень опасные для новичков.
Кто же эти драконы? Многие думают что это те, кого обычно называют словом хакеры. Это так. Но всё же чаще это специальные программы, созданные и используемые ими - ведь программы можно расположить на многих заражённых компьютерах(2), при этом они будут работать в тысячи и даже миллионы раз быстрее чем один человек. И при этом даже если один(или много - но не все) бот будет уничтожен - то остальная часть продолжит свою работу. Да и хакеру, который в это время может находится за тысячи километров от заражённого компьютера "провал" этого компьютера, как правило, ничем не грозит - уличить его местному отделу К или, скажем, ФБР, будет крайне непросто.
Что не стоит делать, чтобы не попасться в зубы "сетевому дракону"? Про это я сейчас и расскажу.
1.1 Выходим в Интернет
Итак, начнём. Включаем компьютер. Соединяемся с местным провайдером(3). Несколько секунд - и Вы уже во всемирной паутине(4). И ???
Именно в этот момент первые "агенты врага" могут устремиться в ваш компьютер. Они, как вирусы в надоевшей рекламе, ожидают Вас буквально повсюду. И им вовсе не требуется, чтобы Вы сами вышли куда-либо. Они сделают это и без Вас.
Сами эти программы действуют не случайно - а по определённой стратегии. Впрочем она была давно освоена в другой среде - криминальной.
Вначале в ход пускаются программы-наводчики. Правильное их название - сканеры. Они занимаются тем, что пытаются "подсмотреть" на Вашем компьютере - нет ли чего ценного для дальнейшей "работы". И это вовсе не ваши уникальные и сверхсекретные документы и откровенные фотографии. Нет. Да и эти программы не настолько "умные". Программы всего лишь смотрят, нет ли "открытых ворот(5)" в вашем компьютере. И нет ли известных эти программам "дырок(6)".
Если такой порт и/или(7) уязвимость найдены, то начинается следующий этап. Этап завоевания. На Ваш компьютер загружается специальная программа, которая будет незаметно от Вас управлять Вашим компьютером(8).
Но даже если такой возможности не найдено, но Ваш компьютер заинтересовал хакера, то он просто применит другие приёмы. Какие? Читайте дальше : И не только в этой статье.
Тем не менее хакеру, точнее его программам, можно "прищемить пальцы". Или просто не дать подсмотреть, что же на Вашем компьютере находится. Для этого надо установить :
Кто сказал антивирус? Ты, Вовочка? Садись - двойка!
Программа, которая сканирует ваши порты, не использует никаких файлов(9). А значит антивирус никак Вам не поможет.
Поможет другая программа. Она называется файрволлом. Файрволл(10), как и его тёзка в реальном мире, стоит на страже того, что проходит в Ваш компьютер. Она, как секьюрити, смотрит - разрешено ли использовать снаружи(или изнутри) определённый сервис компьютера. А если разрешено - то по каким правилам. А если нужно - то она привлечёт Ваше внимание к атакам Вашего компьютера из окружающего мира.
Так что первое, что нужно сделать перед тем, как выйти в Интернет - это поставить программу-файрволл(11). И выходить во внешний мир только тогда, когда он включен. Иначе Вы даже не заметите, как Ваш компьютер незаметно поменяет владельца.
И последнее на эту тему. Оно касается тех, кто постоянно подключен сети Интернет. Многие начинающие пользователи могут подумать - если Интернет не используется - то он как бы и не подключен. Это не так! Ваш компьютер постоянно находится под "обстрелом" хакеров. Помните это!
1.2 Читаем почту
Про вирусы и трояны, вложенные в письма, не знает только ленивый. Они распространяются и под видом фотографий известных популярных красоток и в виде "секретных патчей(12) системы" и даже в виде "крякеров Интернета(13)". В общем в любом виде, которым с помощью СИ(14) хакер хочет заставить открыть это письмо. Как поступить? Может быть это и не троян вовсе - а действительно бесплатная открытка, посланная Вам другом(15)?
Вот тут действительно может пригодится антивирус, который Вы, я надеюсь, уже установили в свой компьютер. Антивирусный монитор(16) автоматически просмотрит открываемое письмо(17) и, если найдёт известный вирус или троян - то не даст ему сделать его чёрное дело и забьёт тревогу.
Стойте-стойте - скажет скептик. А если это будет неизвестный вирус? Антивирус пропустит его?
Ответ на этот вопрос неоднозначен. Может да. А может и нет.
Для борьбы с неизвестными вирусами применяется специальная методика, называемая эвристикой. У каждого антивирусного пакета она разная. Более того - фирмы строго хранят секрет работы эвристического алгоритма своего антивируса. Но всё же в общих чертах рассказать о нём можно.
Создатели программ поступают как в известной притче о утке. Она звучит так: "Если что-то крякает, как утка , ходит как утка и плавает, как утка - то это утка". Точно также антивирусная программа запускает подозрительную программу так, чтобы она не могла добраться до реальных программ в памяти компьютера(18). И говорят ей - давай, "плодись и размножайся!".
Этот метод действительно хорош. У самых сильных в этом отношении антивирусов с помощью эвристики отлавливаются до 98% процентов вирусов. Но у него есть и недостатки. Известные вирусы отлавливаются по специальным "компьютерным отпечаткам пальцев(19)". Это происходит очень быстро. А вот для работы эвристики надо запустить подозрительную программу и посмотреть - что же она делает?. Вот на это и уходит очень много(20) времени. Так что серьёзные торможения при работе антивирусных мониторов связаны именно с работой эвристических алгоритмов. Как говорится - за безопасность надо платить(21).
А что же делать с оставшимися 2% ? Возвращаясь к нашим "уткам" можно сказать, что наша утка может успешно замаскироваться и будет выглядеть как безобидный "гусь". Вроде бы и похож - но и не вреден. А иногда - она поступает как злобный хорёк. Ей известно, какой антивирус её проверяет - и он просто "прогрызает" стенки "песочницы" и оказывается в незащищённой системе. Как предотвратить такие случаи?
Тут конечно бы помогла антивирусная программа от другого производителя. Но ставить несколько антивирусных программ и их мониторов - это дополнительно тормозить компьютер. А часто это вовсе невозможно. Антивирусы очень агрессивно относятся к свои конкурентам. Так что это скорее их области благих помыслов.
Но выход есть и в этом случае. Производители антивирусных пакетов сейчас сделали возможным проверку подозрительных программ на своём сайте. Просто зайдите к ним на сайт(22), загрузите подозрительный файл - и получите диагноз. А для совсем ленивых и очень подозрительных имеются и сайты, на которых проверяют одновременно несколькими антивирусами. Например - virusscan.jotti.org. На этом сайте ваш файл проверят десятком антивирусов.
Но если файл Вам подозрителен, но проверка ничего не дала? Что делать?
Поступайте, как считаете нужным. Но если источник подозрителен, лучше не "тянуть в рот всякую гадость". Сотрите и забудьте.
Иногда бывает так, что Вы не открывали подозрительных файлов, файрволл у Вас правильно настроен - а в системе антивирус обнаруживает "зверя". Откуда он?
А дело в том, что самые современные наработки использует не только любознательность получателя почты, но и ошибки почтовых программ. В этом случае достаточно поместить курсор на принятое письмо, чтобы посмотреть - "что же пришло?" - и запустится специальная программа(23). Эта программа может не содержать вируса или трояна, но она, пока Вы будете находится в Интернете, загрузит троян к Вам на компьютер. Но всё же обычно антивирусные мониторы и файрволлы не дают им сделать своё "чёрное дело"
Так что второе, что стоит сделать после установки файрволла - это установить антивирусную программу в режим постоянного слежения. А поскольку новые разновидности вирусов появляются достаточно часто - включить обновление вирусных баз через Интернет.
1.3 Рассматриваем сайты
И всё же большую часть времени в Интернет Вы, наверное, проводите рассматривая сайты. Опасность поджидает Вас и там. Если сказать точнее - не на всех сайтах. А только на определённых.
Страницы на этих сайтах специально созданы.Причём созданы примерно так же, как было сделано то письмо, которое само заражало Ваш компьютер при его открытии.
При открытии этих страниц запускается программа-эксплойт, рассчитанная на Ваш браузер. Поскольку большинство пользуются Internet Explorer-ом, то программа-эксплойт рассчитана на него(24). Кроме того, через Ваш браузер программа-эксплойт может атаковать и другие программы в Вашей системе.
Дело в том, что для удобства пользователей определённые типы файлов, если они внедрены в сайт, открываются не самим браузеров, а другими программами. Например файлы PDF открываются Acrobat Readerом, а файлы DOC - Microsoft Word-ом. И очень часто такое открытие происходит незаметно для пользователя. Казалось бы - дополнительное удобство, но в нём таится и большая опасность. Ваша система будет "поражена" - а Вы даже не будете об этом подозревать.
Поэтому я не зря написал в примечаниях, что стоит попросить приглашённого профессионала не только настроить Ваш файрволл, но и обновить систему и программы в системе.
Кроме такого невидимого "обновления" трояны могут проникнуть в Ваш компьютер и при вашем одобрении. Бывает, что некоторые сайты предлагают загрузить обновление, которое "улучшит" работу с этим сайтом. Бывает что это действительно так. Но также часто в последнее время этими "полезными программами" оказываются элементарные лоадеры(25). А уж эта программа : подробности Вам уже известны.
Хотя бывает, что эта программа вместо опасных для Вас троянов может загружать из интернет и другие программы. Одна из массовых разновидностей - это Ad-Aware. Это программы, которые шпионят за вами - куда Вы ходите в Интернет, что там делаете. А потом сообщающие об этом в свой "центр".
Антивирусные программы распознают и программы Ad-Aware. Но всё же с этим лучше справляются специальные программы. Скажем LavaSoft Ad-Aware. Эта программа имеет и специальный монитор, который Вы можете включить перед посещением подозрительных сайтов.
Ну что ж, теперь остался вопрос вопросов. Какие сайты подозрительны? Какие страницы стоит посещать, а какие не стоит?
В первую очередь это конечно сайты, посещаемые большинством народа(26). Но это не обязательно сайты определённых направленностей. Такие сайты, как ebay.com тоже содержат "ядовитые страницы".
И ещё в категорию подозрительных безусловно следует поместить те сайты, ссылки на которые Вы получаете в спаме. Абсолютно неизвестно, что на них находится.
Впрочем даже ваша личная страница может оказаться заражена и Вы об этом не узнаете. Это может произойти либо по Вашей небрежности, либо по небрежности Вашего провайдера. Впрочем обсуждение механики этих взломов выходит за тему статьи.
Если Вам всё же надо войти на подозрительные страницы, старайтесь не использовать для этих целей программу Internet Explorer. Гораздо безопаснее использовать Mozilla FireFox. Или Opera.
* * *
В Интернет много всего интересно. И Вы будете не только читать письма и просматривать сайты. Но описание всевозможных опасностей просто не вмещается в эту статью. Да и те программы, про которые я упоминал, должно помочь и в этих случаях. Пропуская многие-многие части подойдём к части предпоследней ...
* * *
Часть 1.(предпоследняя) Посчитали - прослезились
Что же произойдёт, если Ваш компьютер окажется всё же заражён, Вы это не увидите - и на Вашем компьютере начнёт работать бот неизвестного хакера? Если сказать парой слов - всевозможные неприятности.
Современные трояны, в отличии от старых вирусов, вовсе не стремятся разрушить систему на вашем компьютере. Наоборот - чем тише и незаметнее он работает - тем более успешным считается. Они теперь не мушкетёры, они - шпионы.
Первая неприятность, вне зависимости от качества самого трояна - это траффик(27). Бот на вашем компьютере начнёт выполнять это задание, которое ему даёт хозяин. Это может быть и поиск новых жертв, и рассылка спама, и "маскировка"(анонимайзинг) сёрфинга в интернет и подбор паролей и многое, многое другое. Мало ли на что используют компьютеры-"рабы". Но практически все эти действия требуют активности бота в Интернет, причём часто создаваемый им траффик весьма значителен. А платить за него - Вам.
Вторая неприятность - загрузка Вашей системы. Она может быть и от того, что бот просто неудачно написан. Но часто(особенно в тех ботнетах, которые занимаются подбором паролей) это нормальная работа бота. Просто алгоритм работы требует значительных процессорных трат. А Вы почувствуете, что система сильно заторможена. Это неприятно, особенно если Вы собираетесь поиграть в те игры, которые тоже требуют мощных процессоров. Та что ваш новейший процессор на 5 Гигагерц может для Вас работать как допотопный первый Пентиум. Ещё одна потеря - несколько десятков тысяч рублей, что Вы заплатили за Ваш компьютер, бесплатно используются хакером.
И, самая главная неприятность - за всю деятельность бота, расположенного на Вашем компьютере, отвечаете только Вы. Исключительно Вы. И никто, кроме Вас. Хакер-злоумышленник далеко, а Вы рядом. Вот Вы и ответите по закону за действия Вашего компьютера. Также, как отвечали бы за Вашу собаку, если бы она набросилась на прохожих.
Какие же неприятности ожидают Вас в худшем случае? Разнообразные - от административных до уголовных.
Чтобы не быть голословным, приведу пару примеров.
Если Ваш компьютер занимался рассылкой спама, то Вас могут оштрафовать. По последнему постановлению Думы эта сумма может составлять до полумиллиона рублей. Неплохо, да?
А вот если через Ваш компьютер хакер занимался взломом, то это уже начинаются уголовные преступления. Как минимум это будет "компьютерная" статья - "Неправомерный доступ к информации". Но если будет взломан сервер спецслужб и будет доказана утечка секретной информации - то это уже будет и более серьёзная статья ...
Впрочем, немного успокою. Обычные пользователи имеют меньший риск попасть "нечаянно" попасть под эти неприятности(28). Но если Вы директор фирмы и она имеет постоянный доступ в Интернет - советую обратить внимание на безопасность вашей компьютерной сети.
Технически за это отвечает специальный человек, но на практике первым за всю "деятельность" троянов в вашей сети придётся отвечать Вам. Так что лучше провести "оборонительные мероприятия" заранее.
Часть 1.(последняя) Краткий итог
Прочитать обязательно. Перед первым выходом в Интернет.
1. Установите на Вашем компьютере файрволл и настройте его.
2. По возможности обновите Вашу систему и программы.
3. Поставите антивирусные программы и программы обнаружения Ad-Aware. Перед выходом в Интернет обязательно включите их программы мониторинга.
4. Ещё лучше если пункты 1-3 проделает профессионал. Потраченные на его визит могут оказаться значительно меньше затрат, которые наверняка возникнут при проникновении в Ваш компьютер вредоносных программ.
В дополнении:
С автором статьи легко связаться через почту сайта, почту адресуйте на ник ником FreeCat. Если же Вы заинтересовались вопросами безопасности компьютеров и взлома, то добро пожаловать на форум компьютерной безопасности forum.web-hack.ru , где Вы можете прочитать практические рекомендации в области взлома и защиты и задать свои вопросы. Только убедительная просьба начать задавать их в разделе Для новичков (Trash) - иначе Ваше пребывание на форуме ВХБ будет недолгим, к чему, возможно, приложит руку и автор статьи, являющийся админом на этом форуме.
1. Устоявшийся термин, означает просто гулять по сайтам Интернета
2. Сообщество таких компьютеров, объединённую в общую по задачам сеть, обычно называют ботнетом. Бот - означает вовсе не "лодка", а сокращение от слова "робот". А заражённый компьютер, на котором расположена программа-бот, называют обычно зомби.
3. Для тех, кто ещё не знает - это фирма, предоставляющая услуги доступа к сети Интернет.
4. "Всемирная паутина" - шутливое название сети интернет.
5. Правильное название - порты. Каждый порт даёт доступ определённым возможностям(сервисам) вашего компьютера.
6. Правильное название - уязвимости. Это такие ошибки в программах, которые позволяют использовать их для пользы хакеру.
7. Они, как правило, связаны друг с другом.
8. Именно поэтому такие компьютеры и называют компьютеры-зомби. Вроде бы живой, "дышащий" компьютер - а управляется чужой "волей".
9. И, кстати, некоторое современные вредоносные программы - тоже.
10. Файрволл(другой вариант-брандмауэр) - специальная противопожарная стена, применяемая для предотвращения распространения пламени при пожарах
11. А вот настроить его лучше попросить профессионала. У файрволлов имеются некоторые заранее созданные для некоторых условий правила - но Вам могут потребоваться и другие. Кроме того он поможет Вам и обновить систему - в последнее время и в этом вопросе имеются свои тонкости.
12. Программа исправляющая уязвимость в системе или программе.
13. Мифическая программа, дающая неограниченный и бесплатный доступ к сети Интернет.
14. Этой теме посвящена предыдущая статья цикла
15. Если даже в отправления стоит адрес вашего друга(подруги) - это ещё ничего не знает. Хакер может узнать адрес вашего друга(знакомого) и подделать.
16. Специальная программа, контролирующая работу с файлами и/или письмами и "на лету" проверяющая на вирусы.
17. У некоторых антивирусов имеются специальные мониторы, которые контролируют только почту.
18. Такое место называется "песочницей". Аналогии, думаю, понятны ;).
19. Они называются сигнатурами.
20. По компьютерным меркам.
21. Это вовсе не значит, что антивирусная программа, которая больше всех тормозит при проверке, имеет лучшую эвристику. Это скорее говорит о квалификации программистов, создающих программу.
22. Вот несколько адресов: drweb.ru/scan, kaspersky.ru/scanforvirus, onlinescan.avast.com, test-clamav.power-netz.de . Другие сайты легко отыскать с помощью Rambler или Google.
23. У таких программ имеется и специальное название - эксплойт.
24. В самом деле чаще запускается цела связка эксплойтов, рассчитанных на различные версии IE(имеющих разные ошибки) - а также на различные версии других программ, которые имеют ошибки.
25. Специальная программа, закачивающая впоследствии из Интернет вредоносную программу.
26. Порносайты ;).
27. Для тех, кто ещё не знает - это потоки информации, которые втекают в ваш компьютер и вытекают из него.
28. Хотя бы из-за конституционной неприкосновенности жилища. Да и денег с обычного человека часто можно получить всего ничего.
Статья создана для журнала "Умный Офис", издаваемый рекламно-издательской кампанией "Июль в Швейцарии", опубликован в номере 5`2006. Любое использование материалов данной статьи возможно только с согласия рекламно-издательской кампании "Июль в Швейцарии".
|