ЗАЩИТИ СВОЮ "ИНФУ"
Компьютерная безопасность
г. Переславль-Залесский
2009г.
В настоящее время информация является таким же необходимым ресурсом, как, например, дерево, железная руда, газ, нефть и т.д. и, поэтому её также необходимо защищать. От чего защищать информацию? Вот на этот вопрос я и попытаюсь ответить в своей книге.
Информация стала иметь стоимость, следовательно, она должна обрабатываться, храниться и защищаться. Основным устройством обработки и хранения информации в современном мире является компьютер.
Компьютер применяется практически во всех сферах деятельности общества. Например: образование, управление производством, проектирование, здравоохранение, военная область.
Информационная безопасность (ИБ) – это защищенность информации и поддерживающей её инфраструктуры от случайных и преднамеренных воздействий естественного или случайного характера, которые могут нанести ущерб владельцам или пользователям информации. Основной проблемой защиты информации является в настоящее время проблема защиты от несанкционированного доступа (далее НДС) к информации в системах обработки информации, построенных не базе современных средств ЭВМ - то есть КОМПЬЮТЕРА.
Эта книга основана на информации, которой со мной поделились друзья - добросовестные хакеры - они направлены не на причинение вреда информации, а, наоборот – для улучшения её защиты.
Выражаю огромную благодарность всем, чьи статьи опубликованы в этой книге. Спасибо за понимание и за интересную «ИНФУ».
Все хотят защитить свой компьютер от несанкционированных действий, различных шпионов, вирусов и т.д. Эту проблему можно решить без труда! Но как правильно выбрать программу для защиты компьютеров, и какой антивирус выбрать?! Для некоторых это проблема.
Antikiller-Aleks
Часть I. Вирусы и защита от них
Предисловие
Антивирус нужно ставить известный, который уже набрал популярность, они уже завоевали симпатии многих, и о них говорят только с положительной стороны, чем молодые антивирусы. А какую программу выбрать для защиты вашего компьютера от несанкционированного доступа? спросите вы. Программа Agnitum Outpost Firewall Pro это самая надежная программа. Она признана лучшей в своем роде в 2004 году. Более хорошего варианта пока не было.
Возможно, в ближайшем будущем операционные системы будут выходить с встроенным антивирусом и программой от несанкционированного доступа.
До этого момента я не знаю никого, кто бы прямо или косвенно не пострадал от действий компьютерных вирусов. Ну, конечно, кроме тех, у кого просто нет компьютера, хотя на сегодня это большая редкость. Антивирусные компании много хотят за свои продукты, которые так и не обеспечивают надлежащей защиты. Спрашивается, зачем вообще тогда покупать антивирусное программное обеспечение (далее ПО)? Все что создано человеком может быть уничтожено, это относится как к антивирусам, так и к вирусам. Человека обмануть намного сложнее, чем программу.
Анализ системы
Логично, что для того чтобы обнаружить и обезвредить вредоносную программу необходимо существование таковой программы. Профилактика остается профилактикой, о ней поговорим дальше, однако надо первым делом определить есть ли на компьютере вообще вирусы. Для каждого типа вредоносных программ соответственно есть свои симптомы, которые иногда видны невооруженным глазом, иногда незаметны вовсе. Давайте посмотрим, какие вообще бывают симптомы заражения. Плата начинающих вирмейкеров за не убиваемые процессы то, что при выключении или перезагрузке компьютера идет длительное завершение какого-нибудь процесса, или же вообще компьютер зависает при завершении работы. Думаю про процессы говорить не надо, а так же про папку автозагрузка, если там есть что-то непонятное или новое, то, возможно, это вирус, однако про это попозже. Частая перезагрузка компьютера, вылет из интернета, завершение антивирусных программ, недоступность сервера обновления системы microsoft, недоступность сайтов антивирусных компаний, ошибки при обновлении антивируса, ошибки вызванные изменением структуры платных программ, сообщение windows, что исполняемые файлы повреждены, появление неизвестных файлов в корневом каталоге, это лишь краткий перечень симптомов зараженной машины.
Итак, я думаю, настало время оставить эту пессимистическую ноту и перейти к реалистичной практике обнаружения и деактивации вредоносного программного обеспечения.
Обнаружение на лету
Первым делом мы научимся обнаруживать и уничтожать интернет - черви. Принцип распространения таких червей довольно прост - через найденную уязвимость в операционной системе. Если подумать головой, то можно понять, что основным способом забросить себя на уязвимую машину является вызов ftp-сервера на этой машине. По статистике уязвимостей это печально известный tftp.exe (который, кстати, я ни разу не использовал и думаю, что и создан он был, только, для вирусописателей). Первый симптом таких червей это исходящий трафик и не только из-за DDoS атак; просто вирус, попадая на машину, начинает поиск другой уязвимой машины в сети, то есть попросту сканирует диапазоны IP-адресов. Далее все очень просто, первым делом смотрим логи в журнале событий ОС (Панель управления ->Администрирование->Журнал событий). Нас интересуют уведомления о запущенных службах и главное уведомления об ошибках. Уже как два года черви лезут через ошибку в DCOM сервере, поэтому любая ошибка, связанная с этим сервером уже есть повод полагать о наличие вируса в системе. Чтобы точно убедится в наличии последнего, в отчете об ошибке надо посмотреть имя и права пользователя допустившего ошибку. Если на этом месте стоит "пользователь не определен" или что-то подобное то радуйтесь, вы заражены! и вам придется читать дальше.
Если действовать по логике, а не по инстинкту, то первым делом вы должны закрыть дыру в системе для последующих проникновений, а потом уже локализовывать вирусы. Как я уже говорил, такие вирусы обычно лезут через tftp.exe, поэтому просто удаляем его из системы.
Для этого сначала удаляем его из архива %WINDIR%Driver Cachedriver.cab затем из папок обновления ОС, если таковые имеются, после этого из %WINDIR%system32dllcache и уже потом просто из %WINDIR%system32.
Возможно, ОС скажет, что файлы повреждены и попросит диск с дистрибутивом, не соглашайтесь! А не то он восстановится и опять будет открыта дыра. Когда вы проделаете этот шаг можно приступать к локализации вируса. Посмотреть какие приложения используют сетевое подключение, помогает маленькая удобная программа TCPView, однако некоторые черви имеют хороший алгоритм шифрации или хуже того, прикрепляются к процессам либо маскируются под процессы. Самый распространенный процесс для маскировки - это, несомненно, служба svhost.exe, в диспетчере задач таких процессов несколько, а что самое поразительное, можно создать программу с таким же именем и тогда отличить, кто есть кто, практически невозможно. Но шанс есть, и зависит от внимательности. Первым делом посмотрите в диспетчере задач (а лучше в программе Process Explorer) разработчика программ. У svhost.exe это как не странно MS, конечно можно добавить подложную информацию и в код вируса, однако тут есть пара нюансов. Первый и, наверное, главный состоит в том, что хорошо написанный вирус не содержит ни таблицы импорта, ни секций данных. Поэтому ресурсов у такого файла нет, а, следовательно, записать в ресурсы создателя нельзя. Либо можно создать ресурс, однако тогда появится лишний объем файла, что крайне нежелательно вирмейкеру. Еще надо сказать про svhost.exe, это набор системных служб и каждая служба - это запущенный файл с определенными параметрами.
Соответственно в Панели управления -> Администрирование -> Службы, содержатся все загружаемые службы svhost.exe, советую подсчитать количество работающих служб и процессов svhost.exe, если не сходиться, то уже все понятно (только не забудьте сравнивать количество РАБОТАЮЩИХ служб). Надо так же отметить, что возможно и среди служб есть вирус, на это могу сказать одно, список служб есть и на MSDN и еще много где в сети, так что просто взять и сравнить -проблемы не составит. После таких вот действий вы сможете получить имя файла, который возможно является вирусом. О том, как определять непосредственно вирус или нет, я расскажу чуть дальше, а сейчас оторвемся от рассуждений и посмотрим еще несколько моментов. Как вы, наверное, уже знаете, для нормальной работы ОС необходимо всего 5 файлов в корневом каталоге, поэтому все остальные файлы вы можете смело удалять, если конечно вы не умудряетесь ставить программы в корневой каталог. Кстати файлы для нормальной работы, вот они:
1. ntldr
2. boot.ini
3. pagefile.sys
4. Bootfont.bin
5. NTDETECT.COM
Больше ничего быть не должно.
Это все было сказано про детектирование простых червей. Конечно, вычислить хороший скрытый вирус сложно.
А теперь, самое время рассказать о вирусах – шпионах.
Начну я свой рассказ с самых распространенных шпионов. В одном небезызвестном журнале, один хороший программист правильно назвал их «блохами ослика». Простейший шпион очень часто скрывается за невинным на вид тулбаром. Знайте, что если у вас, вдруг, откуда не возьмись, появилась новая кнопка или же строка поиска в браузере, то считайте, что за вами следят. Уж очень отчетливо видно, если у вас вдруг изменилась стартовая страница браузера, тут уж и говорить нечего. Вирусы, меняющие стартовые страницы в браузере вовсе не обязательно будут шпионами, однако, как правило, это так и, поэтому, позвольте здесь отнести их к шпионам. Как вообще может пролезть шпион в систему? Есть несколько методов, как вы уже заметили речь идет про Internet Explorer, дело в том, что самый распространенный метод проникновения вируса в систему через браузер - это именно посредством использование технологии ActiveX. Так же заменить стартовую страницу, к примеру, можно простым Java-скриптом, расположенным на странице. Тем же javascript можно даже закачивать файлы и выполнять их на уязвимой системе. Банальный запуск программы якобы для просмотра картинок с платных сайтов известного направления в 98% случаев содержат вредоносное ПО. Для того чтобы знать, где искать скажу, что существует три наиболее распространенных способа, как шпионы располагаются и работают на машине жертвы.