4 июля 2005
Непробиваемая парочка - Файрвол + Антивирус
О том, что Сеть полна различных неожиданностей (не всегда приятных), знает каждый более-менее опытный пользователь. Поэтому сунуться в нее, не обезопасив свой компьютер хотя бы простейшей программой-антивирусом, может только безрассудный новичок. Мудрый пользователь заботится о собственной безопасности, поэтому двери его компьютера неусыпно охраняет, по крайней мере, тройка сторожей - антивирус, антитроян и файрвол, - защищая от различных сетевых опасностей: вредоносных вирусов и почтовых червей, хакерских вторжений, программ-шпионов, запуска нехороших скриптов при заходе на сайты и многого другого. Но, судя по статистике двух серьезных эпидемий компьютерных червей и одной эпидемии вируса, поразившей Интернет в августе этого года, пользователей, отваживающихся выйти на просторы Всемирной паутины без надежной защиты, еще очень много. По оценке компании Symantec, только последний вариант червя MS/Blast заразил свыше миллиона компьютеров, а компьютерный вирус SoBig.F заразил десятки тысяч компьютеров во всем мире, породив к тому же вспышку спама.
Как же чувствует себя в Сети незащищенный компьютер? Давайте попробуем испытать это на собственной шкуре, точнее, применительно к машине, на собственном интерфейсе.
Отключаем всю защиту
Попробуем выгрузить всю постоянную защиту, отключив антивирусный и антитроянский мониторы, а персональному файрволу зададим режим бездействия. На всякий случай позаботимся о возможности восстановления системы и данных, создав полные образы дисков с помощью замечательной программы Acronis True Image, разработанной компанией "Акронис". В ожидании непрошеных гостей заблаговременно запустим программу для захвата изображения с экрана, чтобы запечатлеть сей возможный визит, и подключимся к Интернету.
Были сомнения: а вдруг мой компьютер никому и даром не нужен, и никто не посягнет на его целостность? Но не прошло и десяти минут, как на экране появилось системное окошко: "Система завершает работу. Сохраните данные и выйдите из системы. Все несохраненные изменения будут потеряны. Отключение системы вызвано NT AUTHORITYSYSTEM". Оказывается, системе необходимо перезагрузить Windows, поскольку произошла непредвиденная остановка службы "Удаленный вызов процедур" (RPC). На то, чтобы закрыть все окна и сохранить работу, дается примерно минута. Хорошо, что программка CPS13 умеет быстро сохранять скриншоты в файл нажатием одной клавиши - делаем снимок экрана и закрываем приложения. Система действительно перезагружается.
Это была самая настоящая хакерская атака на мой компьютер, которая называется "Отказ в обслуживании" (Denial-of-Service или DoS), в результате которой компьютер жертвы (то есть мой компьютер), работающий под операционными системами Windows 2000 или XP может "зависнуть" или перезагрузиться, как произошло в нашем случае. Атака оказалась успешной, поскольку в службе Remote Procedure Call (RPC) имеются "дыры", которыми и воспользовался виртуальный хулиган. Конечно же, корпорация Microsoft выпускает "заплатки" на эти уязвимости, и если их вовремя скачивать и устанавливать, то подобного нападения может не произойти. Печально то, что в процессе RPC злоумышленники находят все новые уязвимости. Например, буквально на днях стало известно о новой "дырке", не менее серьезной, чем три предыдущие, уже заблокированные патчами. Поэтому неизвестно, что произойдет раньше - атака на ваш компьютер или выпуск нового патча от Microsoft, который еще нужно "стянуть" по Сети и успеть установить.
Последствия рассмотренной атаки не стоит недооценивать - из-за неожиданного "зависания" или перезагрузки системы может произойти не только потеря важной информации, но и повреждение системных файлов, после чего, возможно, эту систему придется переустанавливать. Но самая серьезная из уязвимостей RPC позволяет хакеру запустить на компьютере жертвы вредоносный скрипт.
Попробуем снова подключиться к Интернету и подождать именно такого "гостя". На этот раз в его ожидании запустим программу-антивирус, дабы засечь момент его появления и избежать возможных неприятных последствий этого явления. В течение часа компьютер пару раз "затормозил" и перегрузился, прежде чем в мою систему пожаловал сам знаменитый MS/Blast! Его пришествие, как обычно, сопроводилось появлением сообщения системы о необходимости перезагрузки, но, вдобавок, только чуть позже, "выскочило" окошко Pandа Antivirus Platinum, в котором она рапортовала о нахождении в папке System32 файла msblast.exe и успешном его обезвреживании. К сожалению, не хватило времени на снятие скриншота, поскольку система быстро перегрузилась, как и в предыдущем случае. Точно так же при попытке внедрения в систему червя MS/Blast сработала и "титановая" Panda - обнаружила и уничтожила файл с вирусом в системной папке, а я на этот раз даже успела "заснять" ее окошко с сообщением об этом.
Как видите, программа-антивирус спасла мой компьютер от заражения червем. Однако нужно сказать, что антивирусы умеют находить только ту заразу, которая имеется в вирусных базах. MS/Blast был известен Pandа, поэтому она его и обезвредила. Если бы база вирусов не была обновлена своевременно, компьютер был бы заражен. То же самое можно сказать о "свежих" вирусах, которых разработчики антивирусов еще не успели добавить в списки известных.
Антивирус+файрвол
Попробуем теперь в помощь антивирусу добавить межсетевой экран и снова выйдем на просторы Всемирной паутины. В составе "платиновой" Pand"ы имеется свой собственный файрвол. И пусть этот файрвол не такой многофункциональный, как специализированные персональные брандмауэры, минимум защиты он обеспечить в состоянии. После того как я активизировала этот простой персональный экран, всякие попытки атаковать мой компьютер прекратились. Во всяком случае, я их перестала видеть.
Что касается настроек файрвола Platinum - в принципе, в нем все уже установлено по умолчанию, и этого достаточно для защиты от червей типа Blaster. Единственное, что посоветовал руководитель службы техподдержки компании Panda Software Russia, - убрать галочку в опции Do not ask when common programs access the network в окне Programs with access to the network.
К тому же, в состав "пандовских" программных продуктов входит выделенный антивирусный сервер, который называется GateDefender. Он проверяет весь сетевой трафик, проходящий через участки сети. При этом сканируются все протоколы, которые сегодня используются наиболее часто - SMTP, HTTP, FTP, POP3, IMAP4, NNTP и SOCKS. GateDefender перехватывает трафик, проходящий по этим протоколам, и проверяет его. Именно это позволяет данному решению обнаруживать такие вредоносные коды, как SQLSlammer.
Panda+Outpost
В последнем опыте был включен уже настроенный файрвол Platinum"a. А как поведет себя только что установленный и "необученный" файрвол во время аналогичной атаки по RPC? И что произойдет, если в настройках этого экрана будут допущены ошибки? Установим на компьютере Pandа Antivirus Titanium и полноценный брандмауэр Outpost Personal Firewall Pro, выбрав политикой его работы "Режим обучения". Подключимся к Интернету и посмотрим, что будет.
А вот и гость, запрашивающий соединение с какой-то удаленной службой. Outpost предлагает создать правило для этого приложения. Пока мы с вами думаем, что делать с этим приложением: разрешить ему выполнять любые действия, запретить их или создать правило на основе стандартного, Outpost блокирует это соединение. Попробуем разрешить этому странному протоколу выполнить действие однократно, нажав на соответствующую кнопку в окошке создания правил. На экране появляется уже знакомое сообщение системы, и через минуту компьютер перезагружается. Если гость успевает записать файл вируса в системную папку, он тут же удаляется оттуда недремлющей "Пандой". Как видите, лучше блокировать действие всех незнакомых приложений, а в случае ошибки любое правило можно легко изменить.
Нужно добавить, что специалисты компании Agnitum уже внесли в настройки Outpost большинство нужных и полезных настроек, которые просто нужно принять по умолчанию при установке программы. Например, что касается пресловутой RPC, в программе существуют системные правила ("Общие правила" в закладке "Системные", в меню "Параметры"), где блокируется активность этой службы. Главное - своими неумелыми действиями не испортить эти настройки. Например, можно запросто свести на нет действие имеющихся правил, добавив вручную эту RPC (svchost.exe) в список доверенных приложений. Outpost - программа, настолько готовая к применению, что в большинстве случаев не требует дополнительных настроек.
Как видите, защита компьютера становится непробиваемой при одновременном использовании двух программ - антивируса и файрвола. Outpost Firewall Pro контролирует входящие в систему пользователя и исходящие из нее потоки данных, а Panda Antivirus Titanium производит внутреннюю "зачистку" системы - находит и обезвреживает вирусы, каким-то образом проникшие через внешний барьер (в приведенном выше примере мы явно разрешили запрос, позволивший вирусу проникнуть в систему). Кроме всего прочего, включив режим "невидимки" в Outpost, можно избежать любых атак, поскольку компьютер действительно становится невидимым извне.
Из всего сказанного делаем вывод: будущее компьютерной безопасности - это не только антивирусные программы. Пользователям (как домашним, так и корпоративным) для сохранения конфиденциальности нужны и другие инструменты, такие как персональные брандмауэры. Вот почему ведущие разработчики защитных систем стали предлагать своим клиентам наборы программ, имеющие в своем составе как антивирусы, так и файрволы. Совсем недавно такой пакет появился у "Лаборатории Касперского" - "Антивирус Касперского Personal Pro + Anti-Hacker". Интересно, что в этом направлении объединяют свои усилия разные компании и даже из разных стран. Так, испанская компания Panda Software и российская Agnitum предоставили пользователям пакет своих программ: Panda Antivirus Titanium и Outpost Personal Firewall Pro. Что особо понравится в этом российскому пользователю - цена каждой программы в пакетах примерно на 20% меньше, чем при отдельной их покупке.
Публикации по теме
|
|
29 апреля 2014
Многие компании закупают за свой счет мобильные гаджеты для сотрудников, часто бывающих в командировках. В этих условиях у ИТ-службы появляется насущная необходимость контролировать устройства, которые имеют доступ к корпоративным данным, но при этом находятся за пределами периметра корпоративной сети.
|
|
28 февраля 2014
Как известно, десять лет назад появился первый в мире мобильный вирус Cabir. Он был разработан для заражения телефонов Nokia Series 60, атака заключалась в появлении слова «Caribe» на экранах заражённых телефонов. Современные вирусы для мобильных устройств гораздо более опасны и многообразны.
|
|
28 января 2014
По принципу своей работы виртуальные машины напоминают физические. Поэтому для киберпреступников, атакующих корпоративные сети с целью хищения денег или конфиденциальной информации, привлекательны как виртуальные, так и физические узлы.
|
|
30 декабря 2013
Решения для защиты конечных точек появились на рынке не так давно, фактически после начала массового развертывания в компаниях локальных сетей. Прообразом этих продуктов послужил обычный антивирус для защиты персонального компьютера.
|
|