• Вирусы. Мифы и реальность
  • Классификация вирусов
  • Пути заражения
  • Анатомия spyware
  • Классификация троянских коней
  • Найти и обезвредить!
  • Программное обеспечение против троянских коней
  • Самое главное о безопасности
  • Это не дыра – это целая нора
  • Выбираем антивирус
  • Анонимность в сети
  • Как посетить сайт, чтобы об этом никто не знал (чистка кэша, журнала, Cookies)
  • Прокси-сервер
  • Анонимный серфинг
  • Идентифицируем нового знакомого Поиск информации о человеке по почтовому адресу
  • Определение IP по ICQ
  • Определение IP через электронную почту
  • Как найти настоящего отправителя письма
  • Безопасная электронная почта: шифруем сообщения
  • Безопасность паролей
  • Можно ли подобрать пароль к почтовому серверу
  • Можно ли узнать пароли, которые когда-либо вводились в Internet Explorer
  • Глава 5

    Безопасность

    – Вирусы. Мифы и реальность

    – Анатомия spyware

    – Самое главное о безопасности

    – Анонимность в сети

    – Идентифицируем нового знакомого

    – Безопасная электронная почта: шифруем сообщения

    – Безопасность паролей

    Вопрос безопасности – один из самых важных для пользователей, работающих в Интернете, поскольку именно из Интернета в подавляющем большинстве случаев на компьютер проникают вирусы.

    Вирусы. Мифы и реальность

    Вирусы, получившие широкое распространение в компьютерной среде, взбудоражили весь мир. Взлом сетей, грабеж банков и похищение интеллектуальной собственности – все это давно уже не миф, а суровая реальность. Ежегодные убытки, наносимые последствиями вирусной активности, составляют миллиарды долларов.

    Основное большинство вирусов – программы по сути безобидные, ограничивающие поле своей деятельности текстовыми, звуковыми и видеоэффектами. Написанные любителями, они в большинстве своем содержат ошибки программного кода, что не позволяет им в полной мере наносить вред. Помимо такой распространенной неприятности, как, например, форматирование системного диска, вирусы могут наносить ущерб аппаратной составляющей, выжигать люминофор монитора и даже влиять на здоровье (нашумевший вирус 777). Вы, наверное, уже слышали, что вирусы заражают преимущественно EXE– и COM-файлы. Так было до недавнего времени. На сегодняшний день инфицированными документами, созданными в Office, никого не удивишь. Совсем недавно были зарегистрированы случаи распространения вирусов через файлы формата JPEG.

    Однако даже в том случае, если компьютер работает без сбоев и не подает никаких признаков вирусной активности, это вовсе не означает, что система не заражена. В некоторых системных папках может находиться троянский конь, отсылающий своему хозяину пароли от вашей электронной почты или, еще хуже, от платежной системы WebMoney.

    В некоторых случаях большинство пользователей даже не подозревают, что являются объектами контроля.

    Классификация вирусов

    Следующая классификация, как мы надеемся, поможет сориентироваться в многообразии и особенностях вирусов. В ее основе лежит оригинальная классификация вирусов «Лаборатории Касперского».

    По среде обитания вирусы можно разделить на:

    – файловые вирусы, которые внедряются в исполняемые файлы (СОМ, ЕХЕ, SYS, BAT, DLL);

    – загрузочные, которые внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий системный загрузчик винчестера (Master Boot Record);

    – макровирусы, которые внедряются в системы, использующие при работе так называемые макросы (например, Microsoft Word или Microsoft Excel).

    Существуют и сочетания. Например, вирусы, заражающие как файлы, так и загрузочные секторы. Они, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему, и их труднее обнаружить.

    Классификация вирусов по способам заражения.

    – Резидентные вирусы – при инфицировании компьютера оставляют в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера.

    – Нерезидентные вирусы – не заражают память компьютера и являются активными лишь ограниченное время.

    По деструктивным возможностям вирусы можно разделить на:

    – безвредные, то есть никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);

    – неопасные, влияние которых ограничено уменьшением свободной памяти на диске и графическими, звуковыми и прочими эффектами;

    – опасные – вирусы, которые могут привести к серьезным сбоям в работе;

    – очень опасные – способные привести к потере программ, уничтожению данных, необходимой для работы компьютера информации, записанной в системных областях памяти, и т. д.

    Классификация вирусов по особенностям алгоритма следующая.

    – «Компаньон»-вирусы – алгоритм их работы состоит в том, что они создают для EXE-файлов файлы-спутники, имеющие то же самое имя, но с расширением СОМ. При запуске такого файла MS-DOS первым обнаружит и выполнит СОМ-файл, то есть вирус, который затем запустит и ЕХЕ-файл.

    – Вирусы-«черви» (worm) – вариант «компаньон»-вирусов. «Черви» не связывают свои копии с какими-то файлами. Они создают свои копии на дисках и в папках дисков, никаким образом не изменяя других файлов и не используя сом-ехе-прием, описанный выше.

    – «Паразитические» – все вирусы, которые при распространении своих копий обязательно изменяют содержимое дисковых секторов или файлов. В эту группу относятся все вирусы, которые не являются «червями» или «компаньон»-вирусами.

    – «Студенческие» – крайне примитивные вирусы, часто нерезидентные и содержащие большое количество ошибок.

    – «Стелс»-вирусы (вирусы-невидимки, stealth), представляют собой весьма совершенные программы, которые перехватывают обращения MS-DOS к пораженным файлам или секторам дисков и «подставляют» вместо себя незараженные участки информации. Кроме того, такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие обходить резидентные антивирусные мониторы.

    – «Полиморфик»-вирусы (самошифрующиеся, или вирусы-«призраки», polymorphic) – достаточно трудно обнаруживаемые вирусы, не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же «полиморфик»-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.

    – Макровирусы – вирусы этого семейства используют возможности макроязыков (таких как Word Basic), встроенных в системы обработки данных (текстовые редакторы, электронные таблицы и т. д.). В настоящее время широко распространены макровирусы, заражающие документы текстового редактора Microsoft Word и электронные таблицы Microsoft Excel.

    – Сетевые вирусы (сетевые «черви») – вирусы, которые распространяются в компьютерной сети и, как «компаньон»-вирусы, не изменяют файлы или секторы на дисках. Они проникают в память компьютера из компьютерной сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Такие вирусы иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти).

    Пути заражения

    Самые популярные способы заражения следующие.

    – Через Интернет, так называемым «добровольным» cпособом: когда пользователь скачивает что-либо из Сети. Очень часто под безобидным ускорителем браузера может сидеть самый настоящий WIN95. CIH (WIN95. CIH, или «Чернобыль», перепрошивает BIOS компьютера).

    – Через Интернет методом «навязывания»: из-за неграмотной настройки обозревателя вам предлагают (в лучшем случае) загрузить JavaScript, ActiveX и т. д. как подписанный элемент. Результатом такой загрузки могут стать открытые порты (порт – канал взаимодействия между двумя или более компьютерами) для дальнейшей атаки, удаления данных или кражи файлов. Дело в том, что в состав веб-страниц входят не только текст, графика, музыка и анимация (то есть данные), но и активное содержимое, которое включает в себя апплеты Java и элементы ActiveX. Так вот, данные объекты являются программным кодом, выполняющимся на компьютере пользователя. Что мешает злонамеренному пользователю написать такой код, который бы форматировал диск? Конечно же, настройки безопасности Internet Explorer. Поэтому в настройках безопасности интернет-обозревателя необходимо отключить загрузку неподписанных элементов ActiveX и использование элементов ActiveX, непомеченных как безопасные, а еще лучше установить высокий уровень безопасности.

    Вирус из Интернета может проникнуть на ваш компьютер совершенно самомстоятельно – для этого достаточно быть подключенным к Сети. По этому механизму распространяется широко известный MSBlast, а также ряд других. Вот один из примеров алгоритма распространения посредством брешей в системе: используя брешь в службе DCOM RPC, «червь» проверяет 135-й порт машин, висящих в сети. При благоприятных результатах проверки открывается порт 4444 для ожидания последующих команд. Далее открывается порт 69 UDP, после чего на компьютер «червь» загружает файл носителя. Поэтому необходимо, чтобы в операционную систему были загружены новые обновления, иначе «черви» могут стать последним кодом, который она обработает.

    – Самым распространенным способом заражения является распространение вирусов через электронную почту. Несмотря на многочисленные предупреждения и предосторожности, он прогрессирует. Поэтому будьте внимательны и никогда не открывайте прикрепленные файлы, пришедшие с сообщением от незнакомого человека.

    – Через дискету или компакт-диск – также довольно распространенный способ заражения. По статистике пользователи проверяют дискеты чаще, чем диски, если не сказать более: компакт-диски обычно не проверяют вообще. Однако именно пиратские диски (никто не будет отрицать, что таких у нас большинство) играют значительную роль в распространении вирусов. Почему, когда вирус «Чернобыль» пронесся над Европой и Азией, оказалось, что инфицированы около миллиона машин, а в США – всего 10000? Потому, что он распространялся через нелегальное программное обеспечение, скопированное на компакт-диски. Поэтому возьмите за правило проверять съемные диски антивирусной программой и регулярно обновляйте антивирусные базы.

    Иногда вирус может быть замаскирован под joke-программу, имитирующую вирус, хотя и Kaspersky 5.0, и Panda Platinum определяют его как самый настоящий вирус. Изобретательность создателя вируса в этом случае не знает границ: название такой «шутки» может быть: Not virus! Joke! Убедиться в объективности антивирусной проверки можно, лишь дизассемблировав подобную программу. Иногда вирусы могут находиться даже в программном коде антивируса.

    Анатомия spyware

    В данном разделе поговорим о троянских конях. Сразу следует сказать, что троянский конь – это не вирус. По сравнению с вирусами, которые уничтожают Windows и форматируют диски, они приносят меньший ущерб. Область их компетенции – воровство конфиденциальной информации, паролей с последующей передачей их хозяину. В классическом варианте троянский конь состоит из клиента и сервера. Серверная часть обычно находится на компьютере у жертвы, клиентская – у хозяина, то есть у того, кто создал троянского коня или просто модифицировал его, заставив работать на себя. Связь клиента и сервера осуществляется через какой-либо открытый порт. Протоколом передачи данных обычно является TCP/IP (Transmission Control Protocol/Internet Protocol), но известны троянские кони, которые используют и другие протоколы связи, в частности ICMP (протокол межсетевых управляющих сообщений – Internet Control Message Protocol) и даже UDP (User Dategram Protocol – протокол стека TCP/IP). Тот, кто создает троянских коней, умело маскирует их, например, под полезные программы. При их запуске вначале происходит выполнение кода, который затем передает управление основной программе. Троянский конь также может быть просто, но эффективно замаскирован под файл с любым расширением, например GIF.

    Классификация троянских коней

    Современная классификация троянских коней выглядит следующим образом.

    – Mail Sender – наиболее распространенная разновидность, так как подавляющее большинство троянов, если не все, отсылают хозяину пароли доступа в Интернет, от электронной почты, ICQ, чатов и т. д. в зависимости от изобретательности их создателя. Например: Trojan-PSW. Win32. QQPass. du (ворует пароли Windows), Bandra. BOK (пытается украсть пароли от банковских сайтов), Bancos. LU (сохраняет пароли во временных файлах, а затем пытается отослать их хозяину), Banker. XP (собирает конфиденциальные данные, пароли, счета и т. д. и отправляет их хозяину).

    – Backdoor – утилиты удаленного администрирования, обычно обладают возможностями Mail Sender и функциями удаленного управления компьютером. Такой троян ждет соединения со стороны клиента (через какой-либо порт), с помощью которого посылает команды на сервер. Например: Backdoor. Win32. Whisper. a (имеет встроенную функцию удаленного управления компьютером), Back Orifice (позволяет полностью контролировать компьютер).

    – Программы-дозвонщики – отличаются тем, что могут нанести значительный финансовый урон, устанавливая соединение с зарубежным провайдером. С телефонного номера абонента происходит установка международного соединения, например, с островами Кука, Сьерра-Леоне, Диего-Гарсиа и т. д. Например: Trojan – PSW. Win32. DUT или trojan. dialuppasswordmailer. a, Trojan-PSW. Win32. Delf. gj, Not-a-virus: PSWTool. Win32. DialUpPaper, Not-a-virus: PornWare. Dialer. RTSMini и др.

    – Трояны-кейлоггеры – удачно сочетают в себе функции кейлоггера и Send-Mailer. Они способны отслеживать нажатия клавиш клавиатуры и отсылать эту информацию своему создателю по почте или прямо на сервер, расположенный в Интернете. Например: Backdoor. Win32. Assasin.20, Backdoor. Win32. Assasin.20. n, Backdoor. Win32. BadBoy, Backdoor. Win32. Bancodor. d (keylogger. trojan) и др.

    – Эмуляторы DDos (Distributed Denial of Service) – довольно интересная группа троянов. Серверная часть отслеживает определенный порт и, как только получает команды извне, начинает функционировать как нюкер (приложение, отсылающее на заданный IP шквал некорректно сформированных пакетов, что приводит к отказу в обслуживании).

    – Downloader (загрузчики) – загружают из Интернета файлы без ведома пользователя. Это могут быть как интернет-страницы нецензурного содержания, так и просто вредоносные программы. Например: Trojan-Downloader. Win32. Agent. fk (после запуска создает папку под названием %Program Files%\Archive, после чего копирует себя в нее, размер загружаемых файлов может варьироваться), Trojan-Downloader. Win32. Small. bxp и др.

    – Dropper (дропперы) – программы, созданные для скрытной установки в систему других троянских программ. Например, Trojan-Dropper. Win32. Agent. vw.

    – Прокси-серверы – этот троянский конь устанавливает в вашу систему один из нескольких прокси-серверов (socks, HTTP и т. п.), а затем кто угодно, заплатив хозяину, или сам хозяин совершает интернет-серфинг через этот прокси, не боясь, что его IP вычислят.

    Деструктивные троянские программы, помимо своих непосредственных функций сбора и отсылки конфиденциальной информации, могут форматировать диски, удалять системные файлы и т. д.

    Найти и обезвредить!

    Если ваш антивирус не выдает никаких сообщений, а возможность присутствия троянского коня высока, то попробуйте обнаружить шпиона, воспользовавшись специальными утилитами типа Trojan Remover. Как показывает практика, этот способ доступен даже самому неопытному пользователю, тем более что соответствующего программного обеспечения в Интернете более чем достаточно. Удалить троянского коня можно и вручную. Для своего запуска эти программы обычно прописываются в автозапуск в следующих ветвях реестра:

    – HKEY LOCAL MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run (чаще всего);

    – HKEY CURENT USER\Software\Microsoft\Windows\CurrentVersion\ Run;

    – HKEY CURENT USER\Software\Microsoft\Windows\CurrentVersion\ Runonce;

    – HKEY USERS\. Default\Software\Microsoft\Windows\CurrentVersion\ Run;

    – HKEY LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\ Runonce.

    При обнаружении неизвестной записи, то есть той, которая не принадлежит обычным приложениям, смело удаляйте ее. Стоит напомнить, что при работе с реестром следует придерживаться особой аккуратности. Нужно также просмотреть все, что прописано в автозагрузке. Для этого следует выполнить команду Пуск > Выполнить, ввести в открывшемся окне msconfig и перейти на закладку Автозагрузка. Разрешают/запрещают автозагрузку конкретной программы установкой соответствующего флажка. Необходимо внимательно следить за своими драйверами и программами, прописанными в автозагрузку, – тогда будет намного больше шансов сразу определить троянского коня. Если троянский конь все же запустился, для начала следует распознать его и завершить процесс, ему принадлежащий, воспользовавшись сочетанием клавиш Ctrl+Alt+Delete. Однако, даже если вы не обнаружили его в процессах диспетчера задач, огорчаться не стоит. Полную информацию о запущенных в Windows программах можно увидеть, запустив утилиту XRun или ей подобную – CTask. Если вышеизложенные способы ничего не дали, а признаки наличия троянских коней очевидны (слишком большой трафик, непонятные процессы в оперативной памяти, частые зависания и неустойчивая работа приложений), то необходимо просканировать компьютер извне на наличие открытых портов. Все, что понадобится для такой операции, – это хороший сканер портов и ваш IP. Данная процедура высокоэффективна, с ее помощью выявляются даже самые скрытые троянские кони. Из сканеров наиболее популярен X-Spider.

    Признаком наличия троянских коней являются открытые нестандартные порты:

    23 – Tiny Telnet Server (= TTS);

    25 – Ajan, Antigen, Email Password Sender, Haebi Coceda, Happy 99, Kuang2, ProMail trojan, Shtrilitz, Stealth, Tapiras, Terminator, WinPC, WinSpy;

    31 – Master Paradise;

    121 – BO jammerkillahV;

    456 – HackersParadise;

    555 – Phase Zero;

    666 – Attack FTP;

    1001 – Silencer;

    1001 – WebEx;

    1010 – Doly Trojan 1.30 (SubmCronco);

    1011 – Doly Trojan 1.1+1.2;

    1015 – Doly Trojan 1.5 (Subm. Cronco);

    1033 – Netspy;

    1042 – Bla1.1;

    1170 – Streaming Audio Trojan;

    1207 – SoftWar;

    1243 – SubSeven;

    1245 – Vodoo;

    1269 – Maverick’s Matrix;

    1492 – FTP99CMP;

    1509 – PsyberStreamingServer Nikhil G;

    1600 – Shiva Burka;

    1807 – SpySender;

    6669 – Vampire 1.0;

    6670 – Deep Throat;

    6883 – DeltaSource (DarkStar);

    6912 – Shitheep;

    6939 – Indoctrination;

    7306 – NetMonitor;

    7789 – iCkiller;

    9872 – PortalOfDoom;

    9875 – Portal of Doom;

    9989 – iNi-Killer;

    9989 – InIkiller;

    10607 – Coma Danny;

    11000 – SennaSpyTrojans;

    11223 – ProgenicTrojan;

    12076 – Gjamer;

    12223 – Hackx99 KeyLogge;

    12346 – NetBus 1. x (avoiding Netbuster);

    12701 – Eclipse 2000;

    16969 – Priotrity;

    20000 – Millenium;

    20034 – NetBus Pro;

    20203 – Logged!;

    20203 – Chupacabra;

    20331 – Bla;

    21544 – GirlFriend;

    21554 – GirlFriend;

    22222 – Prosiak 0.47;

    23456 – EvilFtp;

    27374 – Sub-7 2.1;

    29891 – The Unexplained;

    30029 – AOLTrojan 1.1;

    30100 – NetSphere;

    30303 – Socket25;

    30999 – Kuang;

    31787 – Hack’a’tack;

    33911 – Trojan Spirit 2001 a;

    34324 – Tiny Telnet Server;

    34324 – BigGluck TN;

    40412 – TheSpy;

    40423 – Master Paradise;

    50766 – Fore;

    53001 – RemoteWindowsShutdown;

    54320 – Back Orifice 2000 (default port);

    54321 – Schoolbus 1.6+2.0;

    61466 – Telecommando;

    65000 – Devil 1.03.

    Программное обеспечение против троянских коней

    Для обнаружения и удаления троянских коней существует целый арсенал соответствующих программ. Вот лишь та малая часть, которая поможет защитить ваш компьютер от всевозможного рода шпионов.

    – Advanced Spyware Remover – утилита, предназначенная для защиты персонального компьютера от вредоносных программ и шпионских модулей. Позволяет избавиться от рекламных программ, дозвонщиков, программ-шпионов, кейлоггеров и т. д. Программа проверяет системный реестр на наличие в нем ключей, принадлежащих вышеперечисленным типам вредоносных программ. Ее главной отличительной особенностью перед аналогами является высокая скорость работы сканера и обновляемая база сегментов вредоносного кода F-Secure BlackLight.

    – SpyDefense – программа для обнаружения шпионских модулей. Позволяет найти и обезвредить большое количество компьютерных шпионов.

    – WinPatrol – программа, предназначенная для повышения безопасности Windows. Отслеживает и уничтожает различные шпионские модули и вредоносные программы типа Adware и Spyware.

    – Arovax Shield – утилита, предназначенная для защиты от программ-шпионов. Позволяет в режиме реального времени следить за безопасностью системы, предупреждая пользователя о проникновении в нее троянских коней через Интернет.

    – Arovax AntiSpyware – утилита для удаления программ-шпионов. На сегодняшний день в ее базе содержится свыше 33 000 сегментов вредоносного кода Microsoft.

    – AntiSpyware – система для борьбы с вредоносными программами и шпионскими модулями разработки Microsoft. Как утверждает разработчик, утилита держит под контролем более 50 так называемых spyware-путей, по которым в компьютер могут попасть шпионские модули.

    – Trend Micro CWShredder – утилита для нахождения и удаления шпионских программ. Позволяет обнаружить следы присутствия так называемых Cool Web Search-программ (их относят к троянским коням).

    – SpyRemover – неплохая программа для поиска шпионских модулей. Распознает более 27 500 типов вредоносных программ. Имеется возможность автоматического обновления.

    – XSpy Shield Gold – это мощная программа, которая поможет защититься от spyware-модулей, которые присутствуют в некоторых программных продуктах и других шпионских модулях и могут представлять угрозу безопасности вашей операционной системы.

    – Anti-keylogger – утилита для операционных систем семейства Windows 2k/XP, защищающая от кейлоггеров.

    – CounterSpy – аналог программы Ad-aware. Позволяет удалить шпионские модули с вашего компьютера.

    – Spy Sweeper – неплохая программа для защиты от шпионских модулей, а также от троянов и кейлоггеров.

    – HookMonitor – предназначена для администрирования процесса установки глобальных ловушек на клавиатуру. Выявляет и блокирует модули spyware, ведущие наблюдение за набором паролей и т. п.

    – Browser Sentinel – постоянно наблюдает за уязвимыми зонами системы на предмет обнаружения вредоносных компонентов. Она уведомит вас и поможет удалить программы-шпионы, рекламу, клавиатурных шпионов, программы автодозвона и прочих непрошеных гостей.

    В заключение хотелось бы отметить, что широкое распространение троянских коней было, есть и будет, так как они являются мощным инструментом получения конфиденциальной информации, кражи личных данных и др. Чтобы остановить вирус, в одних случаях бывает достаточно использовать SpyRemover и ей подобные программы, в других необходим антивирус. Однако только комплексное применение методов защиты обеспечит полную безопасность вашей системы.

    Самое главное о безопасности

    По итогам исследования, проведенного германской компанией Honey Net, которая объединяет группу исследователей, занимающихся проблемой безопасности Интернета, было установлено, что в настоящее время более миллиона компьютеров заражены пиратскими программами, рассылающими спам и вредоносные программы. Самое интересное, что обычный пользователь может даже и не подозревать, что его компьютер стал средством распространения вирусов.

    В данном разделе рассмотрены основные уязвимые места Windows и выстроена модель многоуровневой защиты.

    Это не дыра – это целая нора

    Ошибки в Windows как обнаруживались, так и обнаруживаются, и ничего тут не поделать. Эпидемии Nimda, Red Code и MS Blast лишний раз показали, насколько уязвимы могут быть операционные системы. Windows без обновлений – основной фактор уязвимости компьютера. Ни для кого не секрет, что большинство «червей» заражают систему именно благодаря наличию брешей, или дыр. Как яркое подтверждение сказанному, хотелось бы упомянуть наиболее нашумевших представителей. MS Blast заражает систему, эксплуатируя уязвимость в службе DCOM RPC (служба удаленного вызова процедур). Модификации «червя» SdBot распространяются, используя пять дыр, в том числе и вышеназванную. «Черви» семейства Sober и Sasser известны своими «пристрастиями» к службе LSASS (Local Security Authority Subsystem – один из сервисов, обеспечивающих безопасность системы), которую успешно эксплуатируют без ведома пользователя. Учитывая, что большинство «червей» используют уязвимость на переполнение буфера, а служб и портов в Windows более чем достаточно, то появление новых «червей» или модификаций старых, применяющих новые дыры, не заставит себя ждать.

    Поэтому необходимо следить за появлением новых уязвимостей и регулярно обновлять систему.

    Многие пользователи активно используют Internet Explorer. Не секрет, что он без должных пакетов обновлений является хорошим объектом для атак извне. JavaScript, ActiveX, Dhtml и др. могут быть успешно использованы для атаки, кражи файлов, удаления данных и т. п. В подтверждение вышесказанному приведен HTML-код, возможности которого при соответствующей доработке можно использовать для запуска любого произвольного кода на машине жертвы:

    ‹HTML›

    ‹OBJECT CLASSID='CLSID:10000000

    CODEBASE='C:\Windows\system32\logoff.exe'›

    ‹/OBJECT›‹HTML›

    Удачной альтернативой являются такие продукты, как Opera и Avant Browser.

    Выбираем антивирус

    В настоящее время среди бесплатных программ можно выделить много достойных продуктов. Учитывая результаты официальных и неофициальных тестирований, а также собственный опыт, можно с уверенностью сказать, что абсолютной защиты нет. При определенных условиях даже самый авторитетный, с хорошей эвристикой и модулем анализа подозрительного поведения программного кода антивирус может дать сбой. Не надо забывать, что параллельно с развитием антивирусного программного обеспечения совершенствуются и вирусы. Существует семейство вирусов, так называемые stealth-вирусы, отличительной особенностью которых является наличие системы скрытия от антивирусной программы – благодаря особенностям работы программного кода такие вирусы отслеживают обращения антивируса к инфицированному файлу и представляют последний незараженным. В результате – вируса как будто бы и нет. На самом деле он распространяется от файла к файлу, скрывая свой присутствие. Подтверждением данному служит яркий пример – Optix Killer, который просто отключает антивирусную программу.

    Крайне желательно, чтобы на вашем компьютере были установлены по крайней мере две операционные системы. Зачем? Во-первых, удобно «препарировать» Windows. Во-вторых, наличие чистой среды при проверке зараженной более чем желательно, особенно если дело касается stealth-вирусов и быстро распространяющихся «червей». Можно посоветовать два антивируса (на разных системах, естественно): Kaspersky Antivirus и Panda Internet Security. Первый имеет обширные базы, хотя они зачастую могут содержать вирусы и записи на эксплоиты (программы, написанные для практического использования какой-либо уязвимости в злонамеренных целях), нюкеры, кейлоггеры, а также программы, идентифицируемые KAV как «хакерский инструментарий». Panda прельщает анализом подозрительного поведения программного кода, защитой от неизвестных угроз, модулем самодиагностики – в общем, своей многофункциональностью. Ансамблю этих двух наиболее уважаемых антивирусных продуктов вполне можно доверить безопасность вашего компьютера. Только вот от самых новых вирусов они все равно вашу систему не спасут.

    Существуют также программы-ревизоры. В качестве примера можно привести Adinf. Принцип ее работы основан на сохранении в специальной базе основных данных о каждом логическом диске в системе. При первом запуске в таблицах запоминаются объем оперативной памяти, образы главного загрузочного сектора, других загрузочных секторов, список сбойных кластеров, структура дерева каталогов, длины и контрольные суммы файлов. Когда вирус заражает компьютер, он изменяет объект, в который внедряется исполняемый файл, главный загрузочный сектор, FAT-таблица. Если ревизор обнаруживает на диске изменения, характерные для действия вируса, он предупреждает об этом пользователя. Важным отличием Adinf от других существующих программ-ревизоров является доступ к дискам без использования функций операционной системы. Такой метод позволяет успешно обнаруживать stealth-вирусы. Кроме борьбы с вирусами, Adinf следит за целостностью и сохранностью информации на жестком диске, выявляя все происходящие изменения.

    Следует также отметить, что максимум, на что способен встроенный в SP2 брандмауэр, – это отражать примитивнейшие атаки на компьютер. Грамотной DOS-атаке с использованием хотя бы ICMP (Internet Control Message Protocol – протокол межсетевых управляющих сообщений, используемый для диагностики состояния сетей) он противостоять не сможет. Для этого существует более серьезное программное обеспечение, например брандмауэр ZoneAlarm (http://www.zonelabs.com). ZoneAlarm можно посоветовать всем, кому нужен авторитетный «наблюдатель» сетевой активности вашего компьютера. Любая попытка вырваться в Сеть или установить соединение из Сети, сканирование ваших портов регистрируется ZoneAlarm с указанием порта и IP.

    Анонимность в сети

    Для начала необходимо четко себе уяснить, что при кажущейся безопасности и приватности нахождение в Интернете все же остается не более конфиденциальным, чем посещение местного гастронома. Говоря об анонимности интернет-серфинга, следует упомянуть о локальной и сетевой безопасности.

    Как посетить сайт, чтобы об этом никто не знал (чистка кэша, журнала, Cookies)

    Локально следы ваших посещений фиксируются интернет-обозревателем и записываются в журнал. Помимо журнальных записей, историю можно воспроизвести, просмотрев содержание папки Temporary Internet Files и Cookies. Чтобы избавиться от компрометирующих записей, необходимо сделать следующее.

    1. На панели настроек обозревателя нажать кнопку Журнал, в появившемся окне (рис 5.1) выделить правой кнопкой мыши посещенные страницы и выбрать в контекстном меню пункт Удалить.

    Рис. 5.1. Журнал

    2. Далее следует выполнить команду Сервис > Свойство обозревателя и в открывшемся окне на вкладке Временные файлы Интернета нажать кнопку Удалить «Cookie», а затем – Удалить файлы (рис. 5.2).

    ПРИМЕЧАНИЕ

    Если вы пользуетесь браузерами вроде Opera или Mozilla, то необходимо дополнительно очистить следы в журналах этих обозревателей.

    Доверить очистку можно специализированным утилитам. Чтобы очистить кэш (временные файлы Интернета, которые сохраняются на диске для последующего ускоренного просмотра веб-страниц), можно воспользоваться программой ClearIECache и т. п. Если необходима более тщательная чистка, то вам следует воспользоваться утилитой CCleaner, описанной в разделе «Лучшие надстройки для Internet Explorer» гл. 2.

    Рис. 5.2. Удаляем временные файлы и Cookies

    Прокси-сервер

    Для начала необходимо представить, каким же образом информация о ваших действиях в Интернете может стать доступной другим лицам. Как известно, каждому пользователю присваивается уникальный IP-адрес. Предположим, вы взломали сайт. Первым действием администратора взломанного сайта станет просматривать файлы журнала, куда вносится история сетевой активности сервера. Выяснив ваш IP, не составит особого труда узнать номер телефона, с которого было произведено соединение.

    Таким образом, чтобы ваш IP нигде не сохранялся, необходим своего рода посредник. Таким посредником является прокси-сервер. Когда вы соединяетесь таким образом, то на какой бы вы сайт ни попали, будет сохранен IP, принадлежащий прокси-серверу. Для идеальной анонимности необходимо использовать цепочку из прокси. При этом сначала соединяются с одним прокси-сервером, потом с него заходят на второй, со второго – на третий и затем уже соединяются с нужным узлом. Скорость связи при этом довольно сильно снижается, но зато безопасность повышается многократно. Длина такой цепочки зависит от того, насколько хорошо нужно «спрятаться». Обычно хватает трех звеньев. Для удобной работы с прокси-серверами понадобится программа SocksChain, которую можно скачать по адресу http://www.ufasoft.com/socks/.

    ПРИМЕЧАНИЕ

    Использование прокси-сервера не может гарантировать стопроцентную уверенность в анонимности действий в Сети, так как, просмотрев файлы журнала прокси-серверов, можно легко установить, чей же это IP-адрес.

    Список ныне существующих прокси-серверов непостоянен. Данное обстоятельство обусловлено тем, что некоторые из них исчезают, другие появляются. Наиболее популярными являются http://www.proxys4all.com, http://www.freeproxy.ru и http://www.ruproxy.ru.

    Установить соединение через прокси-сервер можно, выполнив в Internet Explorer команду Сервис > Свойства обозревателя > Подключение > Настройка. Затем в соответствующие поля области значений Прокси-сервер следует ввести адрес сервера и порт (рис. 5.3).

    Рис. 5.3. Настраиваем прокси-сервер

    Настроив таким образом соединение, не забудьте проверить, действительно ли он предоставляет сайту не ваш IP, а свой. Для этого прокси-сервер необходимо протестировать утилитами вроде Proxy Checker (http://www.proxychecker.net/) или с помощью таких сайтов, как http://www.all-nettools.com и http://www.leader.ru/secure/who.html.

    Анонимный серфинг

    Для осуществления анонимного серфинга можно использовать службы, называемые Anonymizer (анонимайзер). Эти бесплатные сервисы позволяют работать в Сети анонимно. Анонимайзер по сути – прокси-сервер, представляющий собой обычную веб-страницу, похожую на страницы поисковых систем. Только вместо поисковых фраз вам необходимо в поле ввода набрать URL того сайта, на который вы хотите перейти. После чего, нажав кнопку Submit, Go, Surf Anonymously и т. п., вы попадете на нужный сайт. Такой службой является, например, http://www.emoney.al.ru/security/ansurf.htm (рис. 5.4).

    Рис. 5.4. Анонимный серфинг на http://www.emoney.al.ru/security/ansurf.htm

    Процесс перемещения по сайту автоматизирован, набирать новый URL не нужно – все страницы будут просматриваться с помощью анонимайзера. При использовании такой службы след в файлах журналов оставляете не вы, а анонимайзер, что исключает возможность сбора личной информации. Cookies до вас также не доходят. На некоторые сайты, например Hotmail, зайти таким образом невозможно, что, вероятно, можно объяснить желанием их владельцев контролировать действия посетителей. Анонимайзер также не работает с безопасными узлами, использующими SSL.

    СОВЕТ

    Существует возможность создания цепочки из анонимайзеров (как и для прокси-серверов, она значительно усложнит задачу тому, кто попытается вычислить ваш IP). Создать такую цепочку (CGI proxy) очень просто – достаточно в одном анонимайзере набрать адрес другого и нажать Go, а уже затем указывать адрес нужного вам сайта.

    Ниже приведен список некоторых анонимайзеров; выбор в данном случае – дело вкуса пользователя.

    – Anonymouse (http://anonymouse.ws) – отличный анонимайзер. Может не только анонимно просматривать страницы, но также отправлять анонимные сообщения по почте и смотреть новости.

    – ShadowBrowser (http://www.shadowbrowser.com/) – обеспечивает анонимный серфинг по Интернету и сокрытие истории ваших перемещений. Не требует установки программ.

    – ProxyKing (http://www.proxyking.net) – защищает от отслеживания ваших действий в Сети, скрывая файлы Cookies.

    – ProxyFoxy (http://www.proxyfoxy.com) – предлагает бесплатный анонимный серфинг по Интернету, скрывая файлы Cookies, рекламу и сценарии.

    – 75i (http://www.75i.net) – бесплатный анонимайзер, который позволяет путешествовать по Интернету совершенно анонимно и безопасно.

    – Proxyz (http://www.proxyz.be) – это бесплатный интернет-сервис, позволяющий анонимно путешествовать по Интернету. Вы можете также использовать его для доступа к закрытым веб-сайтам в школе или офисе.

    – ShadowSurf free anonymous proxy (http://www.shadowsurf.com) – на 100 % анонимный серфинг по Интернету. Вы можете получить доступ к заблокированным сайтам, при этом ваш IP-адрес не будет виден. Не требует установки.

    – Famous5 (http://www.famous5.net) – бесплатный анонимайзер. Вырезает рекламу и скрывает ваш IP-адрес.

    Идентифицируем нового знакомого

    Поиск информации о человеке по почтовому адресу

    Информацию о человеке в Cети можно найти в самых разных местах: на его персональной странице, во всевозможных гостевых книгах, каталогах адресов, досках объявлений и веб-конференциях, в архивах списков рассылки и телеконференций, а также во всевозможных каталогах пользователей ICQ. Для поиска не нужно обладать какими-то специальными навыками, достаточно воспользоваться обычными поисковыми серверами, как общего назначения («Рамблер», «Яндекс», Google, Yahoo! AltaVista, HotBot), так и специализированными (DejaNews – поиск по телеконференциям, WhoWhere, Four11, BigFoot – каталоги адресов). Кроме того, многие поисковики общего назначения включают в себя интерфейсы и для поиска в почтовых каталогах и в телеконференциях. DejaNews, к примеру, ведет базу сообщений с начала 1990-х годов. Информация эта, естественно, актуальна при условии, что данные, представленные пользователем, верны.

    Определение IP по ICQ

    Чтобы определить IP того, кто общается с вами посредством ICQ, достаточно воспользоваться программой UIN2IP (http://neptunix.narod.ru/uin.htm).

    Вот список некоторых функций UIN2IP:

    – автоматическое обновление листа;

    – автоматическое копирование IP-адреса в буфер при двойном щелчке кнопкой мыши на соответствующей позиции списка;

    – возможность срочного обновления;

    – автоматический запуск программы вместе с Windows.

    Определение IP через электронную почту

    Чтобы определить IP компьютера, с которого было отправлено письмо, достаточно просмотреть заголовок сообщения (head или RFC-заголовок). Например, у сообщения почтового сервиса http://www.mail.ru заголовок сообщения выглядит так:

    From 693236.6714442@zotomerk.com Thu Mar 16 11:34:22 2006

    Return-path: ‹693236.6714442@zotomerk.com›

    Received: from [66.62.45.146] (port=43649 helo=MIT4.zotomerk.com)

    by mx19. mail.ru with esmtp

    id 1FJnw5-000Evs-00

    for pioner sky@mail.ru; Thu, 16 Mar 2006 11:34:21 +0300

    Received-SPF: none (mx19. mail.ru: 66.62.45.146 is neither permitted nor denied by domain of zotomerk.com) client-ip=66.62.45.146; envelope-from=693236.6714442@zotomerk.com;

    helo=MIT4.zotomerk.com;

    Received: by MIT4.zotomerk.com id h34iiu07blk5 for ‹pioner sky@mail.ru›; Thu, 16 Mar 2006 00:43:24-0800 (envelope-from ‹693236.6714442@zotomerk.com›)

    Message-Id: ‹mImzJpqgfrAbCdTJKDtgumIIm@zotomerk.com›

    Reply-To: ‹Abner@zotomerk.com›

    From: TVolution ‹Abner@zotomerk.com›

    Subject: Watch TV on your PC in 2 minutes

    Date: Thu, 16 Mar 2006 00:34:21-0800

    X–Complaints-To: ‹complaints@zotomerk.com›

    Mime-Version: 1.0

    Content-Type: multipart/alternative; boundary=-mImzJpqgfrAbCdTJKDtgumIIm

    Status:

    To: ‹pioner_sky@mail.ru›

    X-Spam: Not detected

    Третья строка данного заголовка содержит IP-адрес компьютера (66.62.45.146), с которого было отправлено сообщение.

    Как найти настоящего отправителя письма

    Просмотрев заголовок письма и определив IP-адрес машины, теоретически можно узнать, кто настоящий отправитель. Сделать это можно, воспользовавшись службой Whois (http://www.whois.net) (рис. 5.5). Она позволяет по IP определить провайдера, его выдавшего, географическое положение и многое другое, вплоть до адреса администратора домена.

    Рис. 5.5. Служба Whois

    Чтобы определить провайдера по IP-адресу, нужно перейти на страницу http://tools.whois.net/hostname и ввести в строке поиска интересующий вас IP.

    Безопасная электронная почта: шифруем сообщения

    Вы, наверное, заметили, что очень часто при переходе на какой-либо сайт, где требуется регистрация и введение личных данных, в строке Адрес привычный http:// меняется на https:// и в нижней части окна Internet Explorer появляется значок в виде желтого замка. С этого момента передача данных осуществляется посредством SSL.

    Ни для кого не секрет, что передача почтовых сообщений посредством протоколов POP3 (Post Office Protocol, версия 3, – популярный протокол для получения сообщений электронной почты) и SMTP (Simple Mail Transfer Protocol – простейший протокол передачи сообщений) не обеспечивает должного уровня защиты и в ряде случаев ставит под сомнение факт конфиденциальной передачи данных.

    Если передаваемые вами данные можно отнести к разряду критических, да и вообще вы хотите быть уверенным в том, что никто, кроме получателя, не прочитает сообщение, то самое время вспомнить про протоколы защищенной связи. Одним из таких протоколов является SSL – открытый стандарт для создания безопасных каналов подключения, предотвращающих утечку важных конфиденциальных сведений, например таких, как номера кредитных карт. Данный протокол в основном используют для проведения электронных финансовых операций через Интернет, хотя предназначен он для работы и с другими службами Интернета.

    Безопасность паролей

    Одной из причин утечки информации (это относится как к индивидуальным пользователям, так и к крупным предприятиям) являются слабые пароли или их полное отсутствие. Данное обстоятельство открывает возможность применения специализированных программ для подбора паролей, которые получили широкое распространение и довольно часто используются представителями компьютерного андеграунда. Помимо слабых паролей, которые, по статистике, используются в 70 % случаев, необходимо упомянуть и об алгоритмах шифрования, криптографическая устойчивость которых в ряде случаев оставляет желать лучшего. Ко всему прочему следует добавить множественные уязвимости операционной системы. В данном разделе рассмотрим возможности специализированных программ для нелегального получения паролей.

    ВНИМАНИЕ

    Следующая информация приведена в ознакомительных целях. Авторы книги не несут никакой ответственности за использование данной информации в злонамеренных целях.

    Можно ли подобрать пароль к почтовому серверу

    На сегодняшний день существует большое количество программ, позволяющих в считанные минуты подобрать пароль к почтовому серверу. Принцип их работы основан на последовательном переборе паролей (Brute Force). В качестве примера можно привести продукт Brutus-AET2, который помимо функции взлома паролей к почтовому серверу выполняет и некоторые другие (рис. 5.6).

    Возможности Brutus-AET2 не ограничиваются только лишь взломом почтовых серверов: предусмотрен взлом FTP-серверов, Telnet, SMB и HTP-серверов.

    Рис. 5.6. Интерфейс Brutus-AET2

    Можно ли узнать пароли, которые когда-либо вводились в Internet Explorer

    Чтобы узнать пароль, введенный в Internet Explorer, достаточно воспользоваться специализированными программами вроде Internet Explorer Password Recovery Master. Ее устанавливают на целевую машину, и при наличии сохраненных паролей на вкладках Set Passwords, User Passwords и AutoComplete находят нужные пароли. Впрочем, их может и не быть, если пользователь пароли не сохранял (рис. 5.7).

    Рис. 5.7. Пароли в Internet Explorer не были сохранены

    СОВЕТ

    При запросе браузера об автоматическом сохранении пароля рекомендуется нажать кнопку Нет.









    Главная | В избранное | Наш E-MAIL | Добавить материал | Нашёл ошибку | Наверх