Антивирус и Файервол
Чего боятся в сети?
Чуть ли не каждый день на различных новостных лентах проскакивают сообщения о том, что найден новый вирус, червь или уязвимость. Большинство простых пользователей как-то не заморачиваются необходимостью защиты своего компьютера, от нехорошего воздействия из интернета. «Ну кому может понадобится мой компьютер! У меня даже никаких важных файлов нет! Зачем меня кому-то ломать?». Ну, ломать действительно вряд ли кто-то будет, хотя есть вероятность, что этот кто-то захочет украсть пароль на выход в интернет и скачивать музыку (или что-нибудь другое) не за свой счет. Скорее можно попасть под эпидемию какого-нибудь червя, который распространяется сам по себе, заползая на машину, через дыру в программном обеспечении. Классический пример – MSBlast, который вывел из строя на довольно приличное время большие сегменты сети. Ещё Вы вполне можете получить троян только потому, что это покажется кому-то забавным. Если вы думаете, что написать троян или вирус и отправить его к вам захочет очень не большое количество людей, а создать его смогут и подавно единицы, то Вы слегка заблуждаетесь. Милое такое заблуждение, тогда как на многих сайтах в сети можно скачать «исключительно для ознакомления» довольно большое количество соответствующего софта. В качестве примера можно привести троянец Pinch. Найти его можно за 5 -10 минут, а настроить и скомпилировать его сможет любой человек, у которого в доме есть англо-русский словарик и голова на плечах. Лучше немного подстраховаться сразу, чем потом восстанавливать систему «с нуля», или думать, куда пропали деньги с диалапа, особенно когда подстраховка не потребует больших усилий.
Пару слов о вирусе и как с ней борются антивирусы. Поговорим для начала об антивирусах. Да, да о тех самых, которые рекомендуют устанавливать всем и, о которых ходит столь много разных легенд. Самой известной из них, пожалуй, является то, что антивирус слишком сильно тормозит систему и поэтому его использование не является оправданным.
Это отчасти правильно. Но только от части. Мониторы некоторых антивирусов действительно тормозят систему. Это происходит в первую очередь потому, что антивирус просматривает каждый запускаемый пользователем файл, прежде чем запускать его. Антивирус способен найти только те вирусы, которые есть в его вирусной базе. В вирусную базу заносятся, как правило, некоторые фрагменты кода вируса, по которым его можно отличить от безобидного программного обеспечения. Таким образом, снимаются так сказать «отпечатки пальцев» всех вирусов и пока антивирус не убедится в том, что на файлепрограмме нет ни одного из отпечатков имеющихся в базе вирусов, он не даст запустить программу. Новые вирусы (те, чьих отпечатков в базе нет) можно найти только при помощи Эвристического анализатора кода. Он может помочь найти новые разновидности вирусов, которые отсутствуют в базе. Эта функция очень требовательна к ресурсам компьютера, и если вы можете позволить себе обновлять антивирусные базы хотя бы каждые 1-3 дня, то лучше эту функцию отключить, тем более, что математически доказано то, что всегда есть возможность подкорректировать вирус так, что его потом антивирус не заметит.
С тем как работают антивирусы, мы в общих чертах разобрались. Рассмотрим теперь, какие бывают вирусы. Выделяют следующие группы: макровирусы, файловые вирусы, загрузочные вирусы, троянцы и черви. Рассмотрим каждую группу в отдельности.
Макровирусы. Эти вирусы так названы не из-за того, что очень большие, а из-за того, что написаны на языке макросов. Подвержены этим вирусам только офисные документы и, как правило, эти вирусы не отличаются особой разрушительностью. Они просто коверкают результаты расчетов в таблицах, вставляют в документы какие-нибудь фразы или предложения. Избавиться от них можно, просто отключив макросы, тогда макровирусы не смогут функционировать.
Файловые вирусы. Они являются исполняемыми файлами и прикрепляются к программам. Когда пользователь запускает программу, запускается и вирус. Эти вирусы являются, как правило, либо просто розыгрышами, переворачивающими экран пользователя, (отключающими мышь и т.д.) или же, делающие попытку порушить систему, отформатировать жёсткий диск. Ввиду того, что они убивают систему, они не могут и дальше распространяться, поэтому эти вирусы сейчас уже почти вымерли.
Загрузочные вирусы, как и следует из названия, прописывают себя в загрузочную область диска. Находясь в загрузочной области диска, они не дают загрузиться операционной системе, убивая её загрузчик и, вставляя вместо неё какую-нибудь милую фразу или картинку на своё усмотрение.
 |
|
Firebox X Edge e-Series
|
Троянцы. Троянские программы, попадая на компьютер, могут закрыть антивирус, просканировать жёсткий диск и собрать (как вариант уничтожить) файлы, которые интересуют его владельца, переписку по ICQ, почте, пароли на вход в операционную систему, почтовый ящик, кошелёк WebMobey, отправить всё это владельцу трояна, да ещё сделать кучу гадостей. Троянец не выдаёт своего присутствия на компьютере, и прописывает себя в автозагрузку, или добавляет себя в сервисы операционной системы. После выполнения своего чёрного дела он может сам удалиться, или же просто уничтожить все ваши файлы, операционную систему, и всё остальное, до чего сможет дотянуться. Разумеется эта ситуация вряд ли кому-нибудь может понравиться. Далее мы ещё рассмотрим способы борьбы с ними.
Черви получили, пожалуй, самое большое распространение с появлением интернета. Эти вирусы проникают на компьютер через уязвимости в программном обеспечении, а попав туда начинают рассылать себя всем остальным компьютерам, с которыми контактирует этот, при условии если уязвимость у них не закрыта. Большинство червей считают святой целью своей жизни заразить все компьютеры, до которых смогут добраться, периодически сканируя для этих целей сеть, и атаковать какой-нибудь сервер в сети. Чаще всего атакуют update.microsoft.com для того, чтобы никто не смог установить себе заплатку от этого червя. Хотя, впрочем, черви могут выполнять и что-нибудь, что свойственно троянам...
Firewalls
 |
|
ESET NOD32 Firewall
|
Есть как программные, так и аппаратные реализации идеи файерволов, но мы рассмотрим только программные. Задача файервола следить за всем входящим и исходящим трафиком с машины, следить, чтобы никакая служба или программа не могла выйти в сеть, если ей это не дозволено. Запрещено, правилом. Вообще файерволы очень «правильные», ни на шаг не отступают от своих правил, которые создаёт пользователь. Каждому процессу либо разрешается делать в сети всё, что заблагорассудится, либо разрешается работа только с определенными портами, либо не разрешается ничего. Вот такая вот огненная стена вокруг машинки. Файервол не выпустит троянца, с Вашей машины, не даст червям атаковать удалённый сервер, сообщит о том, что к вам кто-то ломится, проведет DoS атаку, или отсканирует порты. В данном случае, злоумышленник, скорее всего, захочет выяснить какие адреса и программы являются легитимными и заставит своего троянца отправить, разведданные программы или попробует попасть на машину через разрешенный адрес. В конце концов, можно отключить файервол, уничтожить его или подделать свой IP, чтобы файервол думал, что злоумышленник хороший и его надо пропустить. Исходя из этого, следует что стоит закрывать все порты, которые не используются, и вообще, лучше руководствоваться правилом «запрещено всё, что не разрешено», а не наоборот. Если оградить машину от атаки только с одной стороны, то её всегда можно взломать с другой. Не стоит об этом забывать. Файервол способен спасти от многих неприятностей, только будучи правильно настроенным, иначе он легко станет игрушкой в руках хакера. Не пускайте в интернет те программы, которым это не нужно и, которым вы не доверяете.
Отчего это не поможет...
Как бы не была хороша эта модель, она не убережет вас от многих других неприятностей: к примеру, если вы выходите в интернет через домашнюю сеть, то там велика вероятность сниффинга ваших данных, паролей к ICQ, почте, вашему сайту. Все передаваемые данные могут быть перехвачены. Эта проблема актуальна только в локальных сетях. Когда к машине приходит пакет с данными, она по идее, должна прочитать адрес получателя и, если этот получатель – не она, отправить пакет дальше. Но не сложно заставить сетевую карту получать абсолютно все пакеты, и отфильтровывать из них, допустим, только пакеты с паролями. От сниффинга нет универсального лекарства и, скорее всего, вам поможет только криптография. Помимо сниффинга у вас могут украсть cookies. Казалось бы, в этом нет ничего страшного, но если вы ставите галочку «запомнить пароль» на форумах, почте и у своего провайдера, то злоумышленник быстренько получит все эти пароли. Лучше всего эти галочки не ставить. Иначе ведь действительно ваши данные могут быть «доступны третьим лицам». Отсюда мораль: не доверяйте подозрительным сайтам со скриптами. Многие файерволы и браузеры умеют блокировать или предупреждать пользователя о наличии скриптов на сайтах, и спрашивать блокировать ли их. Эту опцию лучше включить. Список возможных способов получить ваши данные можно продолжить почти до бесконечности, но многие из них были бы основаны на уязвимостях программного обеспечения, так что постарайтесь устанавливать заплатки как можно быстрее.
Welcome to internet.
Следует наиболее эффективно использовать замечательную связку из файервола и антивируса. Если Вы всё правильно сконфигурируете, то этим чудовищно усложните задачу взломщика.
Источник drkct.wintel.ru
.gif){kind=small}
Сенсорные мониторы Elo
