- Перед підключенням до Інтернету встановіть антивірус і брандмауер
- Не користуйтеся в Інтернеті з-під обліковим записом адміністратора
- утиліта DropMyRights
- Встановіть для входять до групи «Адміністратори» облікових записів складні паролі
- Вимкніть у властивостях мережевого з'єднання протоколи і служби, які не використовуються при роботі...
- Періодично контролюйте настройки безпеки браузера
- Аналізуйте посилання перед переходом по ним
- Ніколи не переходьте за посиланнями з спамерських листів
- Ніколи не відкривайте підозрілі вкладення в листах електронної пошти
- Здійснюйте контроль за BHO
- Висновок
Олег Зайцев
Перед підключенням до Інтернету встановіть антивірус і брандмауер
Не користуйтеся в Інтернеті з-під обліковим записом адміністратора
утиліта DropMyRights
Встановіть для входять до групи «Адміністратори» облікових записів складні паролі
Вимкніть у властивостях мережевого з'єднання протоколи і служби, які не використовуються при роботі в Інтернеті
Періодично контролюйте настройки безпеки браузера
Аналізуйте посилання перед переходом по ним
Ніколи не переходьте за посиланнями з спамерських листів
Ніколи не відкривайте підозрілі вкладення в листах електронної пошти
Здійснюйте контроль за BHO
висновок
висновок
Кількість користувачів Інтернету з кожним роком неухильно збільшується, у зв'язку з чим проблеми безпеки стають все більш актуальними. В даний статті спробуємо сформулювати ряд практичних порад, яких слід дотримуватися під час роботи в Мережі. Багато з наведених нижче порад можуть здатися досвідченому користувачеві очевидними істинами, проте статистика інцидентів показує, що переважна більшість з них пов'язано з порушенням одного або декількох згаданих у цій статті правил.
Перед підключенням до Інтернету встановіть антивірус і брандмауер
Наявність коштів антивірусного моніторингу і брандмауера є необхідним елементом захисту комп'ютера. На жаль, велика кількість користувачів нехтує цим правилом, що в кінцевому рахунку призводить до ураження комп'ютера вірусами або AdWare / SpyWare-програмами. Рекомендувати конкретний антивірус досить важко, однак нескладно сформулювати основні вимоги до нього:
- антивірус повинен містити монітор. Це обов'язкова вимога, оскільки саме монітор в стані блокувати проникнення шкідливої програми на комп'ютер;
- бази антивіруса повинні часто оновлюватися, в ідеальному випадку - не рідше одного разу в день. Багато користувачів недооцінюють важливість відновлення антивірусних баз. Автору неодноразово доводилося досліджувати уражені комп'ютери, захищені антивірусом з застарілими на кілька місяців базами;
- вкрай бажана інтеграція антивіруса з браузером і поштовим клієнтом;
- інтегровані рішення, що складаються з антивіруса і брандмауера, простіше для користувача в налаштуванні і експлуатації;
- дуже ефективні антивіруси останнього покоління, що містять, крім монітора, засоби проактивного захисту.
Якщо завданням антивіруса є своєчасне виявлення шкідливих програм і їх видалення, то завдання брандмауера полягає в блокуванні мережевих атак і небажаної мережевої активності додатків. Спеціалізовані брандмауери (наприклад, Outpost, Zone Alarm, Sygate Pro і ін.) Дозволяють створювати досить складні правила, відстежувати і блокувати мережеву активність додатків, придушувати рекламу в веб-сторінках і вирішувати ряд інших завдань, пов'язаних з безпекою. При відсутності спеціалізованого брандмауера можна використовувати брандмауер, вбудований в Windows XP. Він поступається за функціональністю спеціалізованим продуктам, але цілком ефективний в якості базового методу захисту.
Налаштування вбудованого в Windows XP брандмауера не представляє особливої складності і проводиться з панелі управління (Пуск -> Панель управління -> Брандмауер Windows).
Налаштування розміщуються на трьох закладках. Закладка «Загальні» дозволяє включити або вимкнути брандмауер (рис. 1). На закладці «Винятки» задаються індивідуальні правила для вказаних користувачем додатків. Базовий набір таких правил для деяких стандартних компонентів встановлено, проте ці правила можна видалити або відключити. На закладці «Додатково» можна вказати, які мережеві з'єднання повинні бути захищені фаєрволом, а також налаштувати параметри протоколювання. Крім того, на цій закладці міститься кнопка «За замовчуванням», яка скидає налаштування брандмауера на налаштування за замовчуванням.
Мал. 1. Вікно настройки брандмауера XP
Не користуйтеся в Інтернеті з-під обліковим записом адміністратора
Проведений автором аналіз показує, що більшість користувачів працюють з-під облікового запису «Адміністратор» або з-під своєї персональної облікової записи, що входить в групу "Адміністратори". З одного боку, це дуже зручно - користувач ніколи не зіткнеться з проблемами нестачі прав для виконання тієї чи іншої операції. З іншого боку, в разі проникнення на комп'ютер шкідливої програми вона теж буде мати необмежені права, що, зокрема, дозволить їй встановити свої служби і драйвери, модифікувати системні файли і ключі реєстру з критичними настройками системи. Дослідження показують, що в разі запуску з-під облікового запису з обмеженими правами багато шкідливі програми стають непрацездатними або наноситься ними шкоду виявляється істотно менше, ніж у випадку запуску з-під обліковим записом адміністратора. Висновком з даних досліджень є практична порада: завести обліковий запис з мінімальними привілеями і працювати з-під неї в Інтернеті. Для створення подібної облікового запису рекомендується залучити досвідченого адміністратора.
утиліта DropMyRights
Призначення утиліти - запуск зазначеної програми з мінімальними привілеями, що дуже корисно в якості додаткової міри безпеки. Утиліта DropMyRights поширюється фірмою Microsoft разом з вихідними текстами.
Для установки програми необхідно проинсталлировать DropMyRights.msi, який можна знайти на доданому до журналу компакт-диску. Для визначеності будемо вважати, що програма встановлюється в папку c: \ DropMyRights \, причому з усіх файлів для нас представляє інтерес сама утиліта - DropMyRights.exe. Далі необхідно створити ярлик для запуску браузера: в поле Вкажіть розміщення об'єкта майстра створення ярлика необхідно вказати c: \ DropMyRights \ DropMyRights.exe "E: \ Program Files \ Internet Explorer \ IEXPLORE.EXE". Якщо тепер запустити браузер за допомогою даного ярлика, то він буде запущений з мінімальними привілеями, а не з привілеями поточного облікового запису. Цей захід, звичайно, не гарантує безпеки при роботі в Інтернеті, проте в разі активації шкідливої програми в ході перегляду веб-сторінок можливості цієї програми будуть суттєво обмежені. Зокрема, шкідливий код не зможе створювати і модифікувати файли в системних папках, встановлювати драйвери і модифікувати більшість налаштувань системи в реєстрі. В результаті пошкодження системи від діяльності шкідливої програми буде зведено до мінімуму. Подібним чином можна запускати не тільки браузер, а й програми для роботи з електронною поштою і інтернет-пейджери - необхідно тільки переконатися, що програма стабільно працює після запуску за допомогою утиліти DropMyRights. Гідність утиліти безсумнівно, оскільки вона дозволяє запустити будь-який додаток з обмеженими правами без створення спеціальної облікового запису, який потрібен для запуску програми за допомогою системної утиліти runas.exe.
Встановіть для входять до групи «Адміністратори» облікових записів складні паролі
Відсутність пароля у користувачів, що входять в групу "Адміністратори", є дуже поширеною помилкою. Найчастіше деяка частина провини в цьому лежить на комп'ютерних фірмах - вони, як правило, встановлюють Windows на комп'ютери з настройками за замовчуванням і не задають паролів для облікового запису користувача і адміністратора. Початківці користувачі, в свою чергу, не знайомі з цією тонкістю, і після виходу в Інтернет їх комп'ютер виявляється відкритий для зловмисників. Поправити це досить просто - потрібно поміняти паролі. Установка пароля тягне за собою одна незручність, особливо якщо мова йде про домашньому комп'ютері, - після кожної перезавантаження комп'ютера доведеться заново вводити пароль. Вирішити проблему можна, виконавши через меню Пуск> Виконати команду Control userpasswords2. У який з'явився після виконання даної команди діалоговому вікні необхідно відключити опцію Вимагати введення імені користувача і пароля і натиснути ОК. Після цього з'явиться вікно, що містить запит параметрів автоматичного входу в систему, - в ньому необхідно ввести ім'я облікового запису та пароль. Після виконання даної настройки в ході завантаження буде проводитися автоматичний вхід в систему з зазначеними параметрами (рис. 2).
Мал. 2. Встановлення автоматичного входу
з заданими ім'ям і паролем
Для генерації складних з точки зору підбору і простих для запам'ятовування паролів можна порадити дуже простий і ефективний алгоритм: в якості пароля необхідно придумати російську фразу, але ввести її на англійській розкладці клавіатури без пробілів, починаючи кожне слово з великої літери. Наприклад, в якості пароля вибираємо фразу «ВрагНеПройдет» - при цьому пароль відповідно буде «DhfuYtGhjqltn». Такий пароль стійкий до словникового перебору і може бути посилений додаванням цифр або складнішим алгоритмом чергування регістра символів.
Вимкніть у властивостях мережевого з'єднання протоколи і служби, які не використовуються при роботі в Інтернеті
Для роботи в Інтернеті і використання електронної пошти потрібно тільки один протокол - протокол Інтернету (TCP / IP). Тому після створення мережевого з'єднання з провайдером Інтернету настійно рекомендується відключити в його властивостях службу доступу до файлів і принтерів мереж Microsoft і клієнта для мереж Microsoft, що унеможливить доступ до файлів і папок на вашому комп'ютері ззовні і захистить комп'ютер від багатьох поширених видів мережевих атак.
Періодично контролюйте настройки безпеки браузера
Використання налаштувань браузера за замовчуванням і відсутність контролю за ними є досить поширеною помилкою. Слід враховувати, що настройки Internet Explorer зберігаються в реєстрі і можуть бути змінені шкідливими програмами. Зокрема, відомий ряд шкідливих програм, що додають один або кілька URL в список надійних вузлів або знижують поточний рівень безпеки.
Аналізуйте посилання перед переходом по ним
Рекомендується виробити просте правило: аналізувати URL посилань перед переходом по ним. У всіх популярних браузерах (зокрема, в Internet Explorer, Opera і Mozilla Firefox) URL посилання відображається в рядку статусу при наведенні курсору на посилання. Навіть поверхневий аналіз адреси дозволяє легко помітити, наприклад, що посилання веде за межі проглядається сайту.
Ніколи не погоджуйтеся з пропозиціями встановити будь-які компоненти, панелі або модулі розширення
Дуже часто в процесі перегляду інтернет-сторінок можна зіткнутися з пропозицією встановити деякі модулі розширення, компоненти і / або панелі інструментів. Слід остерігатися таких пропозицій, оскільки переважна більшість з них є AdWare-додатками або шпигунськими програмами. Найбільш агресивно подібні додатки рекламуються на всіляких сайтах, що містять утиліти для злому програм або генератори серійних номерів до програм. Сторінки таких сайтів можуть містити скрипти, що виробляють багаторазові спроби установки подібних компонентів.
Ніколи не переходьте за посиланнями з спамерських листів
Зі спамом (небажаної розсилкою рекламної інформації) рано чи пізно стикається будь-який користувач Інтернету. Слід враховувати, що посилання в спамерських листах можуть вести на потенційно небезпечні сайти і застосовуватися для різних видів атак і обману (наприклад, фішингу або міжсайтового скриптинга). Крім того, за статистикою автора, часто за допомогою спаму проводиться розсилка посилань на шкідливі програми.
Ніколи не відкривайте підозрілі вкладення в листах електронної пошти
В даному випадку правило таке: необхідно вкрай обережно ставитися до всієї одержуваної кореспонденції. Говорячи про підозрілих вкладень, слід акцентувати увагу на кількох поширених методиках, націлених на введення користувача в оману. Перша методика полягає в тому, що виконуваний файл розпізнається системою не тільки по розширенню, але і по змісту. Отже, якщо виконуваного файлу змінити розширення * .exe на * .com, то система все одно впізнає в ньому * .exe по внутрішньому заголовку і коректно запустить його. Приклад показаний на рис. 3.
Мал. 3. Вкладення в листі електронної пошти
Вкладення на даному малюнку дуже схоже на URL сайту, що і вводить початківців користувачів в оману. Насправді це виконуваний файл, його ім'я www.z-oleg, а розширення - * .com. Для більшого ефекту реальні шкідливі програми мають іконку, візуально відрізнити від іконки ярлика з посиланням на веб-ресурс. Розпізнати таку пастку нескладно - для цього необхідно зберегти вкладений файл і переглянути його вміст в будь-якому редакторі. Посилання на веб-ресурс є невеликим текстовим файлом, що містить усередині посилання на сайт, а виконуваний файл є бінарним і на початку файлу має бути присутня сигнатура «MZ» (байти з кодами 4D 5A - рис. 4).
Мал. 4. Тема виконуваного файлу
Іншою поширеною методикою обману користувача є маскування справжнього розширення файлу. Приклад такого маскування показаний на рис. 5.
Мал. 5. Маскування справжнього розширення файлу
В даному випадку реальне розширення виконуваного файлу - * .exe, а ім'я - «Моє фото.gif», причому перед розширенням в імені файлу присутні близько сотні прогалин. При відображенні списку вкладених файлів ім'я усікається поштовим клієнтом до перших 20-30 знаків, в результаті чого реальне розширення не відображається. Подібною методикою активно користуються різні поштові віруси і зловмисники, що розсилають троянські програми.
Наступний приклад - це розсилка шкідливих програм в архіві (рис. 6).
Мал. 6. Лист з архівом, що містить поштовий вірус файлу
В даному випадку запуск вкладення безпосередньо з поштового клієнта неможливий - потрібно, як мінімум, відкрити архів і запустити розташоване в ній додаток. Як правило, практикується розсилка архівів, захищених паролем. Пароль в цьому випадку зазначений в тексті листа, нерідко у вигляді картинки. Всі ці заходи спрямовані проти антивіруса, оскільки істотно ускладнюють перевірку такого вкладення.
Крім розсилки архівів творці шкідливого ПО останнім часом стали застосовувати ще одну хитрість - розсилку шкідливих скриптів (рис. 7) або файлів довідки формату CHM з вкладеними скриптами і шкідливими програмами.
Мал. 7. Лист з HTA-файлом
Відкриття HTA-файлу призводить до інсталяції (а іноді - до завантаження) шкідливої програми і її запуску. В процесі роботи HTA-файл може відобразити якусь веб-сторінку або повідомлення про помилку, щоб відвернути увагу користувача від запуску шкідливої програми.
Здійснюйте контроль за BHO
Browser Helper Object (BHO) - це модулі розширення браузера, найчастіше виконані у вигляді панелей інструментів, що розширюють функції браузера. Пристрій модуля розширення порівняно просте, і розробити його може будь-який програміст. Однак у BHO є ряд властивостей, про які слід пам'ятати:
- BHO є бібліотекою, яка завантажується в контекст браузера. Як наслідок, якщо шкідлива програма виконана у вигляді BHO, то користувач не зможе виявити процес шкідливої програми - його просто немає;
- програмний код BHO виповнюється в контексті браузера, отже, з точки зору брандмауера і антивіруса робота браузера і робота BHO - це одне і те ж;
- BHO може відстежувати відвідувані URL і обмінюватися з Інтернетом під час завантаження сторінок і файлів, що ускладнює виявлення сторонньої мережевої активності;
- збої і помилки в роботі BHO можуть призводити до порушення роботи браузера (порушення роботи можуть бути різними, починаючи від дрібних збоїв і закінчуючи аварійним закриттям браузера). Отже, при виявленні збоїв в роботі браузера в першу чергу варто звернути увагу на BHO, особливо на ті, походження яких невідоме.
За статистикою у вигляді BHO найчастіше виконують всілякі AdWare-додатки. Вони шпигують за роботою користувача в Інтернеті і можуть відображати рекламну інформацію або модифікувати завантажуються користувачем сторінки, включаючи в них рекламу або сторонні посилання.
Отже, як же проаналізувати, які BHO встановлені і наскільки вони небезпечні? Для вирішення даного завдання існує безліч різних утиліт, однак для аналізу зручніше застосувати диспетчер BHO AVZ (рис. 8).
Мал. 8. Менеджер BHO, вбудований в AVZ
Його особливість полягає в тому, що він не тільки відображає список встановлених BHO і являє типовий для подібних аналізаторів сервіс (збереження списку, тимчасове відключення BHO або їх видалення), а й перевіряє знайдені модулі розширення по базі безпечних розширень. Більшість поширених безпечних BHO включено в цю базу і виділяється в списку зеленим кольором, що спрощує аналіз. Крім того, AVZ в ході сигнатурного пошуку і евристичної перевірки системи пізнає найбільш поширені шкідливі BHO і модулі розширення браузера.
Висновок
У даній статті розглянуті основні моменти, пов'язані з безпеки при работе в Інтернеті. У матеріалі наведено базові рекомендації, засновані на практичному аналізі реальних випадків зараження комп'ютерів користувачів. На закінчення можна сказати, що в разі наявності на комп'ютері користувача правильно налаштованого брандмауера, поновлюваного антивірусу і дотримання користувачем описаних в статті правил безпеки забезпечується майже стовідсотковий захист комп'ютера від шкідливих програм і небажаних програм типу AdWare і SpyWare.
КомпьютерПресс 10'2006
Отже, як же проаналізувати, які BHO встановлені і наскільки вони небезпечні?