ЧАСТЬ ВТОРАЯ. ЗАЩИТА
Глава 5. Защита от сетевых атак
Безопасность информации компьютерных сетей и отдельных компьютеров достигается проведением единой политики защитных мероприятий, а также системой мер правового, организационного и инженерно-технического характера.
При разработке необходимого уровня защиты информации в сети производится учет взаимной ответственности персонала и руководства, соблюдения интересов личности и предприятия, взаимодействия с правоохранительными органами. Обеспечение безопасности информации достигается правовыми, организационно-административными и инженерно-техническими мерами.
Защита корпоративных сетей отличается от защиты компьютеров домашних пользователей (хотя защита индивидуальных рабочих станций – неотъемлемая часть защиты сетей). И прежде всего потому, что этим вопросом занимаются (точнее, должны) грамотные специалисты по компьютерной безопасности. К тому же основа системы безопасности корпоративной сети – достижение компромисса между удобством работы для конечных пользователей и требованиями, предъявляемыми техническими специалистами.
Компьютерную систему можно рассматривать с двух точек зрения: видеть в ней лишь пользователей на рабочих станциях, а можно учитывать только функционирование сетевой операционной системы. Можно считать компьютерной сетью и совокупность проходящих по проводам пакетов с информацией.
Существует несколько уровней представления сети. Точно так же можно подходить и к проблеме сетевой безопасности – на разных уровнях. Соответственно, методы защиты будут разными для каждого уровня. Чем больше уровней защищено, тем надежнее защищена и система в целом.
Первый, самый очевидный и самый трудный на практике, путь – обучение персонала поведению, затрудняющему сетевую атаку. Это вовсе не так просто, как кажется на первый взгляд. Необходимо вводить ограничения на использование Интернета, причем пользователи часто не представляют, чем эти ограничения обусловлены (у них нет такой квалификации), поэтому всячески пытаются нарушать существующие запреты. Тем более что запреты должны быть четко сформулированы. Например, совет не использовать клиентские приложения с недостаточно защищенным протоколом обычный пользователь вряд ли поймет, а вот указание не запускать на своем компьютере ICQ поймет почти наверняка и будет весьма бурно протестовать. Не случайно говорят, что ICQ – цветок на могиле рабочего времени.
В основе комплекса мероприятий по информационной безопасности должна быть стратегия защиты информации. В ней определяются цели, критерии, принципы и процедуры, необходимые для построения надежной системы защиты. В хорошо разработанной стратегии должны найти отражение не только степень защиты, поиск брешей, места установки брандмауэров или proxy-серверов и т. п. В ней необходимо еще четко определить процедуры и способы их применения, для того чтобы гарантировать надежную защиту.
Важнейшей особенностью общей стратегии информационной защиты является исследование системы безопасности. Можно выделить два основных направления:
– анализ средств защиты;
– определение факта вторжения.
На основе концепции безопасности информации разрабатываются стратегия безопасности информации и архитектура системы защиты информации. Следующий этап обобщенного подхода к обеспечению безопасности состоит в определении политики, содержание которой – наиболее рациональные средства и ресурсы, подходы и цели рассматриваемой задачи.
Разработку концепции защиты рекомендуется проводить в три этапа. На первом этапе должна быть четко определена целевая установка защиты, т. е. какие реальные ценности, производственные процессы, программы, массивы данных необходимо защищать. На этом этапе целесообразно дифференцировать по значимости отдельные объекты, требующие защиты.
На втором этапе должен быть проведен анализ преступных действий, которые потенциально могут быть совершены в отношении защищаемого объекта. Важно определить степень реальной опасности таких наиболее широко распространенных преступлений, как экономический шпионаж, терроризм, саботаж, кражи со взломом. Затем нужно проанализировать наиболее вероятные действия злоумышленников в отношении основных объектов, нуждающихся в защите.
Главной задачей третьего этапа является анализ обстановки, в том числе специфических местных условий, производственных процессов, уже имеющихся технических средств защиты.
Концепция защиты должна содержать перечень организационных, технических и других мер, которые обес-печивают максимально возможный уровень безопасности при заданном остаточном риске и минимальные затраты на их реализацию.
Политика защиты – это общий документ, где перечисляются правила доступа, определяются пути реализации политики и описывается базовая архитектура среды защиты. Сам по себе этот документ обычно состоит из нескольких страниц текста. Он формирует основу физической архитектуры сети, а содержащаяся в нем информация определяет выбор продуктов защиты. При этом документ может и не включать полного списка необходимых закупок, но выбор конкретных компонентов после его составления должен быть очевидным.
Политика защиты выходит далеко за рамки простой идеи «не впускать злоумышленников». Это очень сложный документ, определяющий доступ к данным, «характер серфинга в WWW, использование паролей или шифрования, отношение к вложениям в электронную почту, использование Java и ActiveX и многое другое. Он детализирует эти правила для отдельных лиц или групп. Нельзя забывать и об элементарной физической защите – если кто-то может проникнуть в серверную комнату и получить доступ к основному файловому серверу или выйти из офиса с резервными дискетами и дисками в кармане, то все остальные меры становятся совершенно бессмысленными и бестолковыми.
Конечно, политика не должна позволять чужакам проникнуть в сеть, но, кроме того, она должна устанавливать контроль и над потенциально нечистоплотными и неисполнительными сотрудниками вашей организации. Девиз любого администратора системы защиты – «Не Доверяй Никому!».
На первом этапе разработки политики прежде всего необходимо определиться, каким пользователям какая информация и какие сервисы должны быть доступны, какова вероятность нанесения вреда и какая защита уже имеется. Кроме этого, политика защиты должна диктовать иерархию прав доступа, т. е. пользователям следует предоставить доступ только к той информации, которая действительно нужна им для выполнения своей работы.
Политика защиты должна обязательно отражать следующее:
– контроль доступа (запрет на доступ пользователя к материалам, которыми ему не разрешено пользоваться);
– идентификацию и аутентификацию (использование паролей или других механизмов для проверки статуса пользователя);
– учет (запись всех действий пользователя в сети);
– контрольный журнал (журнал позволяет определить, когда и где произошло нарушение защиты);
– аккуратность (защита от любых случайных нарушений);
– надежность (предотвращение монополизации ресурсов системы одним пользователем);
– обмен данными (защита всех коммуникаций).
Доступ определяется политикой в отношении брандмауэров: доступ к системным ресурсам и данным из сети можно описать на уровне операционной системы и при необходимости дополнить программами защиты независимых разработчиков. Пароли могут быть самой ценной частью вашей среды защиты, но при неправильном использовании или обращении они могут стать ключом в вашу сеть. Политика правильного использования паролей особенно полезна при управлении временными бюджетами, чтобы кто-нибудь не воспользовался действительным паролем после того, как временные сотрудники или подрядчики завершили работу.
Некоторые операционные системы предлагают также такую возможность, как квалификация, т. е. вводят минимальный уровень трудности паролей. В этих системах администратор защиты может просто задать правило «Не использовать легко угадываемых паролей». Например, пароль, в котором указаны только имя и возраст пользователя, система не примет. Конечные же пользователи обычно, несмотря на все предупреждения, выбирают самые простые пути. Если им приходится иметь дело со слишком большим числом паролей, они будут использовать один и тот же пароль или задавать легко запоминаемые пароли, или, хуже того, записывать их на листке и хранить в ящике стола, а то и прилепят листок с паролем на монитор.
Изобилие устройств защиты, брандмауэров, шлюзов и VPN (виртуальная частная сеть), а также растущий спрос на доступ к корпоративным данным со стороны сотрудников, партнеров и заказчиков, ведет к созданию сложной среды защиты, трудной для управления. Правила для многих из перечисленных устройств приходится часто задавать отдельно.
По мере того как крупные корпорации продолжают объединяться и поглощать более мелкие компании, среда защиты (и сеть в целом) все чаще принимает бессистемный и многоуровневый характер. Когда это происходит, управлять правилами становится нереально сложно.
Брандмауэры (как аппаратные, так и программные) позволяют определить, кто имеет право доступа в вашу сеть извне. Все брандмауэры реализуют те или иные правила; разница состоит в уровне детализации и простоте использования, обеспечиваемой интерфейсом управления. В идеале брандмауэр позволяет решить три важнейшие задачи:
– задавать правила из интуитивно понятного графического интерфейса;
– управлять доступом вплоть до уровня индивидуальных файлов и объектов;
– группировать файлы и объекты для коллективного применения к ним правил в целях упрощения управления.
На сетевом уровне управлять защитой с помощью правил можно несколькими способами. Один из распространенных способов – с помощью адресации, когда пользователи приписываются к конкретной внутренней подсети для ограничения уровня их доступа. Фильтрация пакетов позволяет пропускать или блокировать пакеты в момент пересечения ими некоторых границ в зависимости от адреса отправителя или получателя.
Системы защиты функционируют на прикладном уровне; в этом случае системы или приложения, которым адресованы пакеты, запрашивают у пользователя пароль, проверяют его и затем предоставляют доступ в соответствии с предопределенными правилами.
Итак, как вы уже поняли, основа любой защиты – системный подход. Для построения действительно эффективной защиты необходимо тщательно продумать ее. Для любого компьютера, «смотрящего» в сеть, критическое значение имеют три вещи:
– брандмауэр;
– антивирус;
– критические обновления для вашей операционной системы.
Это справедливо как для домашнего компьютера, так и для подключенного к корпоративной сети. Давайте подробнее остановимся на каждом из этих пунктов.
5.1. Брандмауэр
Брандмауэр – это средство защиты от вторжения извне и от некоторых видов взлома «изнутри». Брандмауэр – это комбинация аппаратного и программного обеспечения, используемая для защиты сети от постороннего вмешательства. С помощью брандмауэров можно существенно повысить безопасность работы в локальной сети.
В литературе о брандмауэрах можно часто встретить термин компьютер-бастион (bastion host). Название «бастион» происходит от средневекового слова, описывающего стены замка. Бастион-это специальное укрепленное место в стенах замка, предназначенное для отражения атак. Компьютер-бастион – это компьютер, который специально установлен для защиты от атак на сеть.
Проектировщики сетей используют компьютеры-бастионы в качестве первой линии обороны. Компьютер-бастион является своеобразной «заслонкой» для всех коммуникаций между сетью и Интернетом. Другими словами, ни один компьютер сети не может получить доступ к Интернету иначе, чем через компьютер-бастион, и, с другой стороны, ни один внешний (по отношению к сети) пользователь не сможет проникнуть в сеть, минуя компьютер-бастион.
При использовании центрального доступа к сети через один компьютер упрощается обеспечение безопасности сети. Более того, предоставляя доступ к Интернету только одному компьютеру сети, разработчик намного облегчает себе выбор надлежащего программного обеспечения для защиты сети. Большинство сред Unix, включая Linux, хорошо приспособлены для использования компьютера-бастиона. В среде Unix можно установить компьютер-бастион по цене рабочей станции или машины класса «сервер», поскольку операционная система уже обладает способностью поддерживать и конфигурировать IP-брандмауэр. Таким образом, вы сможете сэкономить средства, затрачиваемые на установку маршрутизатора с функциями брандмауэра (т. е. не приобретать дополнительного оборудования для сети, которое может обойтись вам в несколько тысяч долларов). Кроме того, с помощью Unix можно свободно настраивать и просматривать трафик сети.
Большинство компаний предоставляют своим служащим доступ к Интернету. Если сотрудники получают доступ к Интернету, то компании следует позаботиться о том, чтобы соединение с Интернетом происходило через брандмаз’эр. В начале этой главы было сказано, что брандмауэр представляет собой комбинацию аппаратного и программного обеспечения для защиты соединения двух и более сетей. Брандмауэр обеспечивает возможность центрального управления безопасностью сети. Обычно он строится на основе так называемого компьютера-бастиона.
В дополнение к традиционному аппаратному и программному обеспечению брандмауэров для большей безопасности можно воспользоваться экранирующим маршрутизатором, который представляет собой аппаратное и программное обеспечение для фильтрации пакетов данных, основываясь на заданном администратором критерии. Можно создать экранирующий маршрутизатор на базе ПК или компьютера, работающего под управлением Unix.
Первым уровнем защиты от вторжений в присоединенных сетях является экранирующий маршрутизатор, который выполняет фильтрацию пакетов на сетевом и канальном уровнях независимо от уровня приложений. Поэтому экранирующий маршрутизатор позволяет контролировать движение данных в сети без изменения приложений клиента или сервера.
Хотя этот маршрутизатор относительно недорог и удобен в использовании, он не может обеспечить достаточного уровня защиты. Основное его преимущество заключается в том, что он работает исключительно на сетевом и транспортном уровнях модели ISO/OSI.
Однако это палка о двух концах. Для того чтобы действительно защитить сеть от нежелательных вмешательств извне, брандмауэр должен защищать каждый уровень протокола TCP/IP. Основной недостаток экранирующих маршрутизаторов заключается в том, что они осуществляют фильтрование данных, основываясь на недостаточном объеме данных. Ограничения, накладываемые на сетевой и канальный уровни, позволяют получить доступ только к IP-адресам, номерам портов и флагам TCP. Из-за отсутствия контекстной информации у маршрутизаторов могут возникать проблемы с фильтрованием таких протоколов, как UDP.
Администраторы, которые работают с экранирующими маршрутизаторами, должны помнить, что у большинства устройств, осуществляющих фильтрацию пакетов, включая экранирующие маршрутизаторы, отсутствуют механизмы аудита и подачи сигнала тревоги. Другими словами, маршрутизаторы могут подвергаться атакам и отражать большое их количество, а администраторы даже не будут осведомлены об этом. Поэтому для защиты сетей администраторы должны дополнительно использовать другие технологии фильтрования пакетов совместно с применением брандмауэров.
Поскольку брандмауэры предоставляют возможности фильтрации данных на верхних уровнях модели ISO/OSI, а не только на сетевом и канальном, для критериев отбора можно воспользоваться полной информацией уровня приложений. В то же время фильтрация будет происходить и на сетевом, и на транспортном уровнях. Здесь брандмауэр проверяет IP- и TCP-заголовки проходящих сквозь него пакетов. Таким образом, брандмауэр отбрасывает или пропускает пакеты, основываясь на заранее определенных правилах фильтрования.
Как уже говорилось, брандмауэр контролирует взаимный доступ сетей друг к другу. Обычно брандмауэр устанавливается между локальной сетью и Интернетом. Он препятствует проникновению пользователей всего мира в частную сеть и контролирует доступ к данным, хранящимся в ней. Однако важно помнить, что брандмауэр не является отдельным оборудованием или программой, которая сделает все за вас (несмотря на все заверения поставщиков). Он всего лишь предоставляет обширные возможности для максимальной защиты сети от постороннего вмешательства, при этом не создавая особых неудобств зарегистрированным пользователям сети. Для создания самого лучшего брандмауэра достаточно просто физически отключить сеть от Интернета.
Как вы уже знаете, все сетевые коммуникации требуют физического соединения. Если сеть не будет подсоединена к Интернету, его пользователи никогда не смогут проникнуть или атаковать локальную сеть. Например, если компании требуется только внутренняя сеть, которая обеспечивает доступ к базе данных по продажам, и нет необходимости в том, чтобы в эту сеть можно было проникнуть извне, можно физически изолировать компьютерную сеть от всего остального мира.
Необходимость в брандмауэре возникает тогда, когда компания хочет соединить свою локальную сеть со всем остальным миром с помощью Интернета.
Для того чтобы удовлетворить требованиям широкого круга пользователей, существует три типа брандмауэров: сетевого уровня, уровня приложений и уровня схем. Каждый из этих трех типов использует свой, отличный от других подход к защите сети. Рассмотрите отдельно каждый тип. Ваше решение должно учитывать тип и степень защиты, требуемой для сети, а именно это и определяет необходимую конструкцию брандмауэра. Помните, что большинство брандмауэров поддерживают один или несколько уровней шифрования (encryption). Шифрование – это способ защитить передаваемую информацию от перехвата. Многие брандмауэры, которые предоставляют возможности шифрования, защищают исходящие из сети данные, автоматически зашифровывая их перед отправлением в Интернет. Кроме того, они автоматически расшифровывают приходящие данные, прежде чем отправить их в локальную сеть. Используя функции шифрования, предоставляемые брандмауэрами, можно пересылать данные через Интернет удаленным пользователям, не беспокоясь о том, что кто-то может случайно перехватить и прочесть их.
Брандмауэр сетевого уровня – это экранирующий маршрутизатор или специальный компьютер, который проверяет адреса пакетов, для того чтобы определить, пропускать пакет в локальную сеть или нет. Как уже говорилось, пакеты содержат IP-адреса отправителя и получателя, а также массу другой информации, которую использует брандмауэр для управления доступом к пакету.
Можно, например, сконфигурировать брандмауэр сетевого уровня или маршрутизатор таким образом, что он будет блокировать все сообщения, поступающие от определенного сайта конкурента, и все сообщения, отправляемые серверу конкурента из вашей сети. Обычно настройка экранирующего маршрутизатора на блокирование определенных пакетов происходит с помощью файла, который содержит IP-адреса сайтов (мест назначения), чьи пакеты следует блокировать. Когда экранирующий маршрутизатор встречает пакет, содержащий определенный в этом файле адрес, он отбрасывает пакет и не дает ему проникнуть в локальную сеть или выйти из нее. Специалисты по разработке сетей часто называют данный метод «методом черного списка» (blacklisting). Большая часть программного обеспечения экранирующих маршрутизаторов позволяет вам внести в черный список (заблокировать) сообщения от внешних сайтов (другими словами, от внешних сетей), но не от определенных пользователей или компьютеров вашей сети.
Помните, что пакет, поступающий экранирующему маршрутизатору, может содержать любое количество информации, например сообщение электронной почты, запрос Telnet на вход в систему (запрос от удаленного пользователя на доступ к вашему компьютеру). В зависимости от того, как вы составите файл экранирующего маршрутизатора, маршрутизатор сетевого уровня будет предоставлять различные функции для каждого типа запросов. Например, можно запрограммировать маршрутизатор так, чтобы пользователи Интернета могли просматривать вашу Web-страницу, но не могли использовать FTP для пересылки файлов на ваш сервер или с него. Или можно запрограммировать маршрутизатор так, чтобы он позволял пользователям Интернета загружать файлы с вашего сервера на их серверы, но не позволял загружать файлы с их серверов на ваш. Обычно экранирующий маршрутизатор программируется так, что для принятия решения о том, пропустить или не пропустить через себя пакет, им рассматривается следующая информация:
– адрес источника пакета;
– адрес места назначения пакета;
– тип протокола сеанса данных (например, TCP, UDP или ICMP);
– порт источника и порт приложения назначения для требуемой службы;
– является ли пакет запросом на соединение. Если вы правильно установили и сконфигурировали брандмауэр сетевого уровня, его работа будет достаточно быстрой и почти незаметной для пользователей. Конечно, для тех, кто находится в черном списке, это будет совсем не так.
Брандмауэр уровня приложений – обычно это персональный компьютер, который использует программное обеспечение сервера-посредника. Поэтому часто его называют сервером-посредником (proxy-server). Название «сервер-посредник» возникло от слова «proxy» – заместитель, посредник.
Серверы-посредники обеспечивают связь между пользователями локальной сети и серверами присоединенной (внешней) сети. Другими словами, сервер-посредник контролирует передачу данных между двумя сетями. В некоторых случаях он может управлять всеми сообщениями нескольких пользователей сети. Например, какой-либо пользователь сети, обладающий доступом к Интернету через сервер-посредник, будет казаться остальным компьютерам, входящим в Интернет, сервером-посредником (иначе говоря, пользователь использует TCP-адрес сервера-посредника).
В сети сервер-посредник может предоставлять доступ к определенной секретной информации (например, секретная база данных) без передачи (прямым текстом) пароля клиента. Когда вы используете брандмауэр сетевого уровня, ваша локальная сеть не соединена с Интернетом. Более того, поток данных, который перемещается по одной сети, никогда не пересекается с потоком данных, который перемещается по другой сети, поскольку сетевые кабели этих сетей не соединены друг с другом. Сервер-посредник передает отдельную копию для каждого пакета, поступающего от одной сети другой, независимо от того, содержит этот пакет входящие или выходящие данные. Брандмауэр уровня приложений эффективно маскирует источник, от которого исходит запрос на соединение, и защищает вашу сеть от пользователей Интернета, которые могут попытаться получить информацию о вашей частной сети.
Поскольку сервер-посредник распознает сетевые протоколы, можно запрограммировать его таким образом, что он будет отслеживать, какая именно служба вам требуется. Например, сервер-посредник можно настроить так, чтобы он позволял клиентам осуществлять загрузку с помощью ftp-файлов с вашего сервера, но не позволит загружать с помощью ftp-файлы на ваш сервер.
Серверы-посредники предоставляют множество функций доступа, таких как HTTP, Telnet, FTP. В отличие от маршрутизатора, нужно установить различные серверы-посредники для разных сетевых служб. Наиболее популярные серверы-посредники для сетей на базе Unix и Linux – это TIS Internet Firewall Toolkit и SOCKS. Для получения дополнительной информации о сервере-посреднике TIS Internet Firewall Toolkit посетите Web-сайт по адресу http://www.tis.com/docs/products/fivtk/index.html.
Если вы используете сервер на базе Windows NT, то поддержку сервера-посредника осуществляет как Microsoft Internet Information Server, так и Netscape Commerce Server. После того как вы установите сервер-посредник уровня приложений, пользователи вашей сети должны будут использовать программное обеспечение клиентов, поддерживающее работу с сервером-посредником.
Проектировщики сетей создали множество протоколов TCP/IP, включая HTTP, FTP и другие, в которых осуществлена поддержка сервера-посредника. В большинстве Web-браузеров пользователи могут с легкостью сконфигурировать их на поддержку сервера-посредника, используя предпочтения программного обеспечения браузеров. К сожалению, остальные протоколы Интернета не способны поддерживать серверы-посредники. В таких случаях вы должны выбрать приложение для работы в Интернете, основываясь на том, совместимо оно или нет со стандартными протоколами посредников. Например, приложения, которые поддерживают протокол посредников SOCKS, являются хорошим выбором, если вся ваша сеть базируется на SOCKS.
Когда вы устанавливаете брандмауэр уровня приложений, вам следует также оценить, будут ли пользователи вашей сети использовать программное обеспечение клиента, которое поддерживает службы посредника. Брандмауэр уровня приложений предоставляет возможность легко проследить типы и количество передач данных на вашем сайте. Так как брандмауэры уровня приложений устанавливают определенное физическое разделение между локальной сетью и Интернетом, они отвечают самым высоким требованиям безопасности. Однако, поскольку программа должна анализировать пакеты и принимать решения относительно контроля доступа к ним, брандмауэры уровня приложений неизбежно уменьшают производительность сети. Другими словами, они работают значительно медленнее, чем брандмауэры сетевого уровня.
Если вы решите использовать брандмауэр уровня приложений, вам следует использовать в качестве сервера-посредника более быстрый компьютер.
Брандмауэр уровня связи похож на брандмауэр уровня приложений в том смысле, что оба они являются серверами-посредниками. Различие заключается в том, что брандмауэр уровня связи не требует специальных приложений для связи между сервером-посредником и клиентом. Как уже упоминалось, брандмауэры уровня приложений требуют специального программного обеспечения сервера-посредника для каждой сетевой службы вроде FTP или HTTP.
Брандмауэр уровня связи создает связь между клиентом и сервером, не требуя того, чтобы приложения знали что-либо о предоставляемой службе. Другими словами, клиент и сервер сообщаются через брандмауэр уровня связи без сообщения с самим брандмауэром. Брандмауэры уровня связи защищают только начальный этап транзакции и не вмешиваются в ее дальнейший ход.
Преимущество брандмауэров уровня связи состоит в том, что они обслуживают большое количество протоколов. Как вы уже знаете, брандмауэр уровня приложений требует отдельного посредника уровня приложений для каждого типа сервиса, который осуществляется брандмауэром. С другой стороны, если вы используете брандмауэр уровня связи для HTTP, FTP или Telnet, вам не требуется менять существующие приложения или добавлять новые серверы-посредники для каждой службы. Брандмауэр уровня связи позволяет пользователям работу с имеющимся программным обеспечением.
В дополнение к этому брандмауэры уровня связи используют только один сервер-посредник. Как и следует ожидать, использование одного сервера-посредника оказывается значительно легче, чем установка нескольких.
Итак, от теории перейдем к практике. Рассмотрим усиление персональной защиты для вашего компьютера с помощью широко известного Agnitum Outpost Firewall 2.1. Это несомненный лидер среди семейства персональных брандмауэров, неоднократно блестяще подтверждавший свою репутацию. Отмечу, что речь идет не о профессиональном брандмауэре, устанавливаемом на сервере, а именно о персональной защите. Хотя автор имеет опыт использования этой программы и на серверах, все же серверная защита – дело для других программ.
Agnitum Outpost Firewall (http://www.agnitum.com/ products/outpost/) – один из самых молодых представителей данного класса программ. Но, несмотря на свою молодость, является серьезным конкурентом даже для Zone Alarm. He так давно вышедшая из бета-тестирования программа, поселилась на компьютерах у многих пользователей сети Интернет и, похоже, большинство не собирается расставаться с данным программным продуктом.
Широкая популярность программы вполне понятна: мощный файрволл, возможность подключения дополнительных модулей, причем все, что может потребоваться обычному пользователю, уже есть с момента установки, и вдобавок один из решающих моментов при выборе программы – русский интерфейс.
Его можно сравнить с замком на двери вашего дома. Наверняка большинству ваших соседей вы доверяете, не опасаясь, что они вторгнутся в ваш дом, испортят или украдут что-нибудь. Обычно только некоторые из них не заслуживают доверия. Однако, если ваш район является густонаселенным, количество неблагонадежных людей увеличивается.
В Интернете мы наблюдаем сходную ситуацию, только количество соседей исчисляется сотнями миллионов. Лишь небольшой процент от этого количества людей имеет хулиганские наклонности, но это уже много. Outpost Firewall не только закрывает «двери» вашего компьютера, но и делает его невидимым в Интернете. В обычных условиях компьютер пересылает по сети свой адрес. Это как табличка с номером вашего дома или номерной знак вашего автомобиля. Этот адрес могут видеть другие пользователи. Outpost делает его невидимым в Интернете, в том числе и для хакеров: они просто не смогут определить, что ваш компьютер подключен к сети.
Основные достоинства Outpost Firewall:
– защищает компьютер сразу после установки;
– имеет настройки по умолчанию для новых пользователей;
– оптимальная защита действует автоматически во время установки;
– опытные пользователи могут настраивать файрволл по своему желанию;
– делает компьютер невидимым в сети Интернет;
– защищает открытые порты компьютера от вторжений;
– пользователь может назначать перечень доверенных приложений;
– применение подключаемых модулей для повышения функциональности файрволла;
– блокирует рекламные Интернет-объявления (баннеры, или всплывающие окна), которые могут отвлекать вас или замедлять скорость соединения;
– защищает компьютер от контролирования с удаленного узла;
– предупреждает пользователя о попытке скрытого приложения послать «ответный сигнал» хакеру;
– поддерживает все последние версии Windows, сохраняя свои функции в случае обновления системы;
– для своей работы использует мало системных ресурсов и существенно не повлияет на производительность вашей системы;
– Журнал Событий позволяет видеть любое событие, происходящее внутри системы;
– успешно пройдены известные «тесты на уязвимость»;
– многоязыковая поддержка: Outpost Firewall поставляется на 14 языках, в том числе и на русском языке.
–
Внешний вид программы абсолютно ничем не выделяется среди приложений Windows, все строго. Окно программы разбито на три основные части: полоска главного меню вверху; слева находятся основные компоненты, такие как соединения, лог-файлы и подключаемые модули; справа – информационная панель.
Сразу после установки Outpost Firewall следует заглянуть в «Параметры». Там можно определить, нужно ли запускать программу вместе с загрузкой операционной системы, следует ли защищать настройки паролем, добавить основные приложения, которым потребуется обеспечить возможность доступа в Интернет, установить общие правила для «активных» приложений, разобраться с политикой программы и настроить/загрузить дополнительные модули.
Вместе с Outpost Firewall pro идут б дополнительных модулей – Реклама, Содержимое, DNS, Активное содержимое, Защита файлов, Детектор атак:
– Реклама. Модуль служит для очищения HTML-страниц от навязчивых рекламных баннеров, задача которых по мнению многих пользователей откусить для себя побольше трафика. Метод борьбы довольно прост: либо срезать заранее описанную строчку из html-кода, либо вырезать рисунок по определенному размеру, который вы сами можете задать. Если баннер все равно продолжает раздражать, то для этого есть специальная корзина, в которую обычным переносом его можно отправить;
– DNS. Данный модуль производит сохранения DNS-имен для последующего использования в модуле Активное содержимое;
– Активное содержимое. Этот модуль управляет работой следующих элементов: ActiveX; Java-апплеты; программы на языках Java Script и VB Script; cookie; всплывающие окна; ссылки (referers), т. е. возможность получения URL, с которого перешли на данную Web-страницу. Что следует запретить или разрешить, уже решать вам, но очень рекомендую обратить внимание на пункт «Всплывающие окна». Но не стоит забывать, чем больше запретов на содержимое web-страницы вы установили, тем меньше шансов увидеть ее в том виде, в котором планировал ее автор;
– Защита файлов. Модуль предназначен для организации проверки поступающих на ваш почтовый ящик прикрепленных файлов. Вы можете задать проверку файла на вирусы, либо получить оповещение от Outpost Firewall.
Для каждого типа файлов можно создать свое правило;
– Детектор Атак. Модуль позволяет задать условия, при которых выдается предупреждение, когда на ваш компьютер совершается атака. Существует три основных уровня:
параноидальный уровень тревоги – предупреждение выдается в случае, если обнаружено даже единичное сканирование порта;
обычный уровень тревоги – предупреждение выдается в случае, если осуществляется сканирование нескольких портов или портов с определенными в системе номерами (т. е. в тех ситуациях, которые система распознает как атаку на компьютер); безразличный уровень тревоги – предупреждение выдается в случае однозначной множественной атаки. Для скачивания новых версий компонентов программы с сайта-разработчика удобно воспользоваться системой автоматического обновления, так что у вас всегда будет свежая версия программы.
Итак, если вам необходим непробиваемый персональный брандмауэр с расширенными настройками, полезными подключаемыми модулями и русским интерфейсом, то Outpost Firewall pro для вас.
Outpost Firewall работает со всеми версиями Windows, в том числе и Windows XP. Правда, компания-разработчик требует за все удовольствие 500 руб., но это не повод впадать в отчаяние. Существует бесплатная версия программы, которая лишена некоторых дополнительных функций, но все равно остается прекрасным персональным брандмауэром. Кстати, на мой взгляд 500 руб. вполне реальная сумма для покупки этой программы, особенно тем, кто активно использует Интернет.
Теперь рассмотрим настройку этой программы.
Часть настроек осуществляется непосредственно на стадии установки продукта: Outpost осуществит поиск программ, осуществляющих обмен данными через Сеть, и создаст для них нужные на его взгляд правила. Пользователю предлагается принять данные условия, поставив флаг в переключателе. Список программ, выходящих в Сеть, доступен для просмотра при нажатии кнопки Подробнее.
В показанном на рисунке случае этот список довольно велик. Например, абсолютно не нужно, чтобы, например, Adobe Acrobat без моего ведома соединялся со своим сервером на предмет проверки обновлений, по какой причине и был снят флаг напротив этого продукта: понадобится – включим. Радует, что еще на стадии установки Outpost озаботился созданием правил для всех браузеров почтовых и FTP-клиентов, имеющихся в системе.
На следующем этапе предлагается принять правила для сетевых подключений, если таковые имеются. Любопытство в этом плане удовлетворяется нажатием знакомой кнопки «Подробнее».
Кажущаяся чрезмерная подозрительность Outpost объяснима: если в системе поселился шпионский модуль (помните о взломах «изнутри»?) или другое нежелательное приложение, гораздо проще запретить сетевую активность недруга на самой начальной стадии.
Теперь настроим главные параметры брандмауэра, для чего в меню «Параметры» главного окна выберем команду «Общие» (F2). По умолчанию выбран «Обычный режим» загрузки программы, при котором Outpost включается каждый раз при загрузке операционной системы и размещает свой значок в область уведомлений.
Для загрузки в фоновом режиме следует отметить одноименный параметр секции «Загрузка», а если по каким-либо причинам автоматический запуск брандмауэра нежелателен, достаточно включить опцию «Не загружать».
Все настройки программы можно защитить паролем. Я бы не советовал пренебрегать этой возможностью: безопасность компьютера легкомыслия не терпит.
В секции «Защита» паролем нужно отметить опцию «Включить» и при помощи кнопки «Задать» ввести необходимые символы.
Затем в окне параметров перейдем на вкладку «Политики», где указаны 5 режимов работы программы. Режим «Разрешить» даст свободу всем приложениям, которые не были явно запрещены, т. е. не находились в списке «Запрещенных приложений»; в режиме «Блокировать» будут запрещены все приложения, которые явно не разрешены; режим «Запрещать» однозначно закроет выход в сеть всем приложениям, а режим «Отключить» усыпит окончательно всяческую бдительность Outpost Firewall.
По умолчанию выбран режим обучения: в этом случае пользователю каждый раз предлагается либо принять готовое правило для какого-либо приложения (например, для стандартного e-mail клиента), либо самому создать такое правило, либо безоговорочно запретить тому или иному приложению сетевую активность. Этот режим как нельзя более подходит для подавляющего большинства пользователей.
Теперь о настройке приложений и создании правил. Настройкой приложений ведает одноименная вкладка окна параметров (рис. 3). В разделе «Пользовательский уровень» указаны все приложения, которым разрешена сетевая активность. Но нередко возникают сомнения в том, нужно ли, например, разрешать выход в Сеть для DWWIN.EXE. Чтобы узнать «настоящее имя разведчика», следует выделить имя приложения, нажать кнопку «Изменить» и в выпадающем меню выбрать команду «Создать правило».
В открывшемся окне мне рассказали, что приложение DWWIN.EXE есть не что иное, как Microsoft Application Error Reporting, соединяющееся по протоколу TCP с известным всем сервером. Я предпочитаю обходиться без отправки отчетов об ошибках. Поэтому и запретил запуск DWWIN.EXE командой «Изменить» › «Запретить» запуск этого приложения. Для многих программ в Outpost изначально заложены оптимальные правила. Например, если вы решили установить и запустить Outlook Express, файрволл тут же предложит разрешить активность этому приложению на основе готового правила именно для данного почтового клиента.
Содержание готового правила нетрудно просмотреть, если пройти знакомым путем: кнопка «Изменить» › команда «Создать правило». Например, для программы CuteFTP Pro файрволл разрешает исходящее соединение для удаленного FTP-сервера по протоколу TCP.
Теперь попробуем на двух конкретных примерах создать правила для приложений. При запуске известного Р2Р-клиента eMule файрволл предлагает пользователю сделать выбор, что делать с этим приложением. В данном случае «ослик» стремится соединиться с IP-адресом 207.44.142.33 через порт 4661 (рис. 4.).
Представим, что это не eMule, а некая программа, которой разрешено выходить в Сеть, но не на всякий адрес. Тогда выберем единственный параметр «Другие» и нажмем кнопку «ОК», после чего откроется окно создания правила с описанием того, что именно пыталась сделать эта программа.
Разумеется, показанная активность mule абсолютно нормальна, более того, нами приветствуется, посему выберем «Разрешить эти данные», после чего у нас будет правило вида EMULE Правило# 1, описывающее и разрешающее именно этот тип активности приложения (рис. 5).
В следующий раз, если активность будет иного рода (другой удаленный адрес, протокол или порт), нужно будет эти манипуляции повторить.
Если же сетевая активность, которая запрашивает выход в Сеть, недопустима (например, нас не устраивает удаленный адрес), то в диалоге редактирования правила следует выбрать «Блокировать». В следующий раз (в нашем примере – в случае другого, угодного IP-адреса) мы можем создать правило, напротив, разрешающее такую активность. В конце концов, когда приложение исчерпает все виды своей типичной активности, у нас будут созданы все правила, описывающее это приложение.
Другой пример: бдительный Outpost предупредил меня о том, что компьютер пытается установить соединение по так называемому IGMP-протоколу с удаленным адресом 224.0.0.22 и предлагает мне подтвердить его право на это. С одной стороны, у меня нет оснований не доверять Outpost, с другой – здесь уже есть над чем подумать.
В данном случае моя операционная система посылает так называемый «широковещательный» пакет с целью сообщить всем компьютерам моей локальной домашней сети о включении моего компьютера, и не более того. Если же у вас нет сети и ваше подключение к провайдеру осуществляется напрямую, то этот пакет и сообщение предназначены именно провайдеру. Другими словами, это не что иное, как активность Windows. Если у вас постоянный IP-адрес и вы не хотите, чтобы в вашей сети знали, что вы «вышли в свет», то такую активность лучше запретить. Что касается адреса 224.0.0.22, то это стандартный адрес, используемый Windows в данном случае: программа маршрутизации периодически посылает запросы рабочей группе для запроса принадлежности той или иной машины к данной локальной сети.
Перейдем к настройке сетевых параметров. Вкладка «Системные». По умолчанию Outpost автоматически находит и применяет новые настройки сетевых подключений, разрешая все NetBIOS-соединения. Доверять или нет тому или иному локальному адресу – решать вам (секция «Настройки Сети»).
В секции «ICMP» › «Параметры» расположены настройки для сообщений протокола ICMP, которые передаются при возникновении различных ситуаций, в том числе и ошибочных. Они генерируются программами, анализирующими состояние Сети, в том числе ping и traceroute. Для нормальной работы в Интернете нужно обеспечить прием трех типов ICMP-сообщений («эхо-ответ», «получатель недоступен» и «для датаграммы превышено вре-мя»),и отправку двух («получатель недоступен» и «эхо-запрос»). Прием и отправку остальных сообщений желательно отключить – тогда они будут заблокированы.
Outpost по умолчанию использует именно эти настройки, поэтому ничего перенастраивать не придется. Однако, если вы опытный пользователь и вам необходимо разрешить прием или отправку заблокированных файрволлом ICMP-сообщений, вы без труда сможете это сделать одним щелчком мыши в соответствующем окне настроек (рис. 6).
Режим невидимости включен по умолчанию (секция «Режим работы»), а параметры для редактирования общих правил расположены в одноименной секции. По моему скромному мнению нужды изменять общие правила, заложенные разработчиками, нет.
Как уже говорилось выше, Agnitum Outpost Firewall имеет модульную структуру, т. е. имеет возможность подключать какие-то исполняемые модули. Рассмотрим настройки основных плагинов.
Модуль «Интерактивные элементы» умеет блокировать нежелательные элементы ActiveX, Java-аплеты и всплывающие окна (по умолчанию разрешено все). Для вызова настроек следует выделить название данного модуля и выбрать команду «Свойства» контекстного меню (рис. 7). Там же можно запретить вызов неугодных URL: вкладка «Исключения» › кнопка «Добавить».
Плагин «Детектор атак» включен по умолчанию и является одним из главных и самых полезных инструментов данного файрволла. В контекстном меню выберем команду «Параметры» и откроем окно настроек детектора атак. При помощи движка установим один из трех уровней тревога, при котором программа выдаст предупреждение.
По умолчанию выбран уровень, при котором атака распознается при сканировании нескольких портов. Нелишне отметить опции «Блокировать атакующего», «Блокировать подсеть атакующего» и «Блокировать локальный порт, если обнаружена DoS-атака». Вся информация о попытках подключиться к вашему компьютеру будет отображаться в информационной панели справа. Рассмотрим более подробно два примера из практики.
Если Outpost информирует о запросах на соединение, но показывает нулевые значения для атак и сканирований портов, можно не беспокоиться – это обычная сетевая активность. Конечно, компьютер локальной сети с показываемым в сообщении адресом может быть заражен вирусом. Но это не атака.
Но не всегда жизнь столь безоблачна: на рис. 8. (скриншот из предыдущей версии программы) показан пример реальной атаки RST, причем Outpost мгновенно выдает информацию об IP атакующего и реальном URL.
Настройки модуля «Реклама» дают возможность блокировки рекламы как по HTML-строкам, так и по размеру баннеров (по умолчанию оба параметра включены). Инструмент «Корзина» для рекламы удобен при серфинге: достаточно перетащить неугодный баннер в эту корзину, чтобы навсегда избавить себя от конкретной рекламы.
На вкладке «Общие» в окне параметров можно добавить список доверенных сайтов, баннеры которых не будут блокироваться.
Модуль «Содержимое» позволяет осуществить «тонкую» настройку запрета к тем или иным Интернет-страницам. На вкладке «Блокировка по содержимому» достаточно ввести «похабные» словеса, чтобы страница, эти строки содержащая, не отображалась браузером: очень полезно для чадолюбивых родителей…
На вкладке «Блокировка Web-сайтов» домашний сисадмин может ввести группу из запретных URL, созерцание которых домашними нежелательно.
Конечно же такой программе необходим журнал, где будут вестись логии работы. Окно Журнала Outpost служит для просмотра текущей информации, предоставляемой файрволлом.
Для вызова «Журнала» нужно открыть меню «Сервис» главного окна и выбрать команду «Просмотр Журнала» либо воспользоваться кнопкой «Показать Журнал» в информационной панели.
Более того, может быть просмотрена вся отчетность о проделанной работе за тот или иной период: например, какие атаки предпринимались (и были ли вообще); какие подозрительные пакеты прошли перед недреманым оком Outpost и пр.
Типичный пример использования Журнала: допустим, что с 10.00 до 18.00 вы находитесь на работе и в это время Интернет используют дети. Если вы захотите узнать, какие сайты посещает молодое поколение – нет ничего проще. Для Internet Explorer (или другого браузера) создаем в Журнале фильтр (кнопка «Создать фильтр») с параметрами показа информации с 10.00 до 18.00 для нужного количества дней, после чего смотрим всю историю соединений.
Ну вот, пожалуй, и все. Хочется также отметить, что иногда во время работы программы возникают окна, где отмечается, что в каких-либо файлах программ произошли изменения и Outpost просит подтвердить право этих программ на доступ к сети. Не надо пугаться – это совершенно обычное дело, связанное с обновлениями программ и изменениями, связанными с работой.
Еще одним часто используемым на рабочих станциях брандмауэром является Zone Alarm. Настройка его ничуть не сложнее, чем настройка Agmitum Outpost.
Процедура установки защитного комплекса Zone Alarm стандартна и не должна вызывать у вас каких-либо затруднений. Все, что требуется от пользователя на этапе инсталляции, – нажимать клавишу «Next». После того как все необходимые файлы будут скопированы на диск, вас попросят ответить на ряд организационных вопросов, например о способе подключения компьютера к Интернету, входит ли он в локальную офисную или домашнюю сеть, а также установлено ли на нем какое-либо антивирусное программное обеспечение.
Теперь переходим непосредственно к настройке программы. Для начала ответим на вопросы «Configuration Wizard». Тут могу рекомендовать следующие варианты ответов: «Anonymously share your security settings with Zone Labs?» (Разрешить ли общий доступ к вашим настройкам безопасности?) – «No, thanks» (зачем нам нужно, чтоб все крутили настройки, – оставим это для себя любимого); «Program AlertAdvisor Settings» (Активировать модуль AlertAdvisor) – «Off»; «Turn on Zone Labs Antivirus» (Включить встроенный антивирус) – «No, leave Zone Labs Antivirus off»; «Prevent junk e-mail from reaching Microsoft Outlook inbox?» (Включить фильтрацию спама? (Для MSOutlook)) – «Yes, block junk e-mail» (Если вы не используете MS Outlook, то отключите эту опцию) и напоследок «Ensure the privacy of your IM» (Обеспечить безопасность переписки через IM-приложения) – «Yes, turn on IM Security». На этом минимальную настройку программы можно считать завершенной. После первого запуска, если компьютер находится в локальной сети, Zone Alarm предложит установить для нее нужный уровень защиты. Здесь на выбор дается два варианта:
– считать локальную сеть доверенной и разрешить всем пользователям, в ней находящимся, видеть ваш компьютер и использовать его ресурсы;
– расценивать локальную сеть как обычную внешнюю сеть, из которой ожидается угроза безопасности.
Ваш выбор зависит от того, какие отношения установились внутри локальной сети, и от политики системного администратора (если это не вы).
После активации функции мониторинга программа сразу начинает отслеживать любые обращения к сети. Как только какое-то приложение попытается соединиться с удаленным ресурсом, Zone Alarm оповещает вас об этом. Дальше все очень похоже на вышеописанный Outpost. В том случае, если вы уверены в приложении (например, это почтовый клиент, браузер или ICQ), можно просто нажать «Accept» и тем самым разрешить ему доступ к сети. Если же в чем-то у вас возникли какие-то сомнения, то наилучшим вариантом будет запретить доступ для этого приложения и проверить систему антивирусом.
Открыв главное окно программы, вы увидите в нем множество различных закладок, наибольший интерес для нас представляют следующие три пункта: «Firewall», «Program Control» и «IM Security». Давайте рассмотрим каждый из них.
Раздел «Firewall» предоставляет доступ к управлению текущим уровнем безопасности и всем доверенным зонам. Уровни безопасности имеют три состояния – «Low», «Med», «High». Если у вас есть повод опасаться проникновения злоумышленников на компьютер, то без лишних раздумий устанавливайте наиболее высокий (High) уровень защиты для внешней сети и средний – для внутренней. Этот шаг позволит вам быть невидимым для любого человека вне вашей локальной сети и одновременно с этим пользователям внутри нее можно будет использовать общие ресурсы вашего компьютера.
В закладке «Program Control» вы можете получить доступ к контролю над любым приложением, которое хотя бы раз попыталось обратиться к ресурсам сети. К примеру, для программы обновления компонентов ACDSee можно разрешить доступ лишь к нужному ей ресурсу, отсекая ее тем самым от любых других потенциально опасных адресов. Здесь можно также изменить режим работы фильтра приложений Zone Alarm с самообучающегося (ведь именно он установлен по умолчанию) на «запрещено все, что не разрешено», при котором блокируются любые приложения, не занесенные в список доверенных.
Опций в разделе E-mail Protection всего три – это «Inbound MaiSafe Protection», «Out bound MailSafe Protection» и, соответственно, «Junk E-mail Filter». Первые две отвечают за проверку всей входящей и исходящей корреспонденции на наличие вирусов, что, конечно, весьма удобно. Единственный минус данного решения состоит в том, что оно работает лишь с тем антивирусом, который поставляется вместе с данной программой, никакие другие продукты, увы, не поддерживаются. Третья опция помогает защитить ваш почтовый ящик от различного рекламного мусора, который в любом случае приходится ежедневно удалять вручную. Если честно, то я советую использовать для борьбы со спамом другие средства, a Zone Alarm использовать по прямому назначению, т. е. как брандмауэр.
Давайте на этом закончим с брандмауэрами и перейдем к следующему пункту безопасности – антивирусам.
5.2. Антивирус
В канун нового 2005 г. аналитики и эксперты в области компьютерной безопасности, оглядываясь на минувший год и подводя его итоги, строят прогнозы. И прогнозы- эти один мрачнее другого.
В уходящем году информация о сетевых атаках, спаме, вирусах, появившихся в том числе и как продукт неутихающей борьбы в среде самих вирусописателей, не сходила с первых полос многих, и не только околокомпьютерных, изданий. Специалисты, анализируя тенденции в развитии сетевой преступности на протяжении уже прошедшего 2004 г., отмечают ее качественный и количественный рост, смену мотивации и взрывной рост возможностей, связанный с широким распространением мобильных устройств и беспроводного доступа.
Что касается наиболее популярного вида компьютерной преступности в уходящем году, то 2004 г. стал годом фишинга. Так его охарактеризовал Стив Пардэм (Steve Purdham), исполнительный директор компании «SurfControl». Его мнение разделяют многие специалисты в области компьютерной безопасности, а также ведущие разработчики. Однако дела не обстояли бы так плохо, если бы за этим ростом не просматривалась кардинальная смена мотивации сетевых преступников.
«На протяжении года мы наблюдали явное смещение акцентов в мотивах, побуждающих писать вирусы, – обращает внимание Грэм Клули (Graham Cluley), главный технический консультант компании Sophos. – Два-три года назад, вплоть до начала 2004 г., речь шла о типичной «обывательской» ментальности детей, которые пытаются причинить вред или произвести впечатление на своих сверстников».
По мнению главного менеджера группы быстрого реагирования ЕМЕА компании «Symantec» «вред и уважение среди сверстников» в качестве движущего мотива сменилось осознанием того, что фишинг, спам, шпионское ПО, вирусы и черви могут принести весьма ощутимую материальную выгоду. Именно поэтому злоумышленники начали объединять свои усилия.
Так, первые случаи фишинга не производили впечатления особенной угрозы, однако в данном случае речь шла о новом явлении, свидетельствовавшем о начале новой эры в области краж персональных данных, чему в немалой степени способствовала растущая мощь шпионского ПО и все большее количество пользователей. Несмотря на то что мошенничеству с использованием приемов фишинга уже не один год, его внезапный рост в прошедшем году свидетельствует о том, что рост числа пользователей, осуществляющих покупки и банковские операции в Сети, сделал фишинг как минимум экономически окупаемым.
Любая преступность по мнению экспертов базируется на трех фундаментальных источниках: мотиве, шансе и наличии возможности.
Рост числа пользователей, оперирующих со своими банковскими счетами через Сеть, дал преступникам отличный шанс, предоставив возможность совершения преступлений этого типа. Ведь деньги жертв – очень неплохой мотив, вы не находите? Сети для рассылки спама с помощью зараженных машин, владельцы которых и не подозревают о том, что они делают, предоставили преступникам такие возможности, что данная тема не сходила с уст специалистов по вопросам компьютерной безопасности на протяжении всего года.
Такие сети являются конечным продуктом деятельности преступного мира, специализирующегося на спаме, вирусах и троянах.
Мощь процессоров зараженных машин и наличие у них широкополосного доступа дает злоумышленникам возможность вбрасывать в Интернет массовые почтовые рассылки в невообразимых количествах. На протяжении всего года и вирусописатели, и спамеры процветали. Некоторые утверждают, что это произошло явно не без помощи организованных преступных сообществ.
Владельцы зараженных машин, сами страдающие от спама, зачастую и не подозревают о том, что сами участвуют в распространении вирусов и нежелательных почтовых рассылок.
«Теперь это большой бизнес, – констатирует Грэм Клули, – а когда в дело вмешивается бизнес, все становится намного омерзительнее». «Сети из зараженных машин являются главным механизмом доставки примерно 70 % спама и практически всего фишинга, – указывает Марк Саннер (Mark Sunner), главный технический специалист компании MessageLabs. – Причины этого вполне очевидны – отправитель писем получает возможность радикально увеличить объем рассылки, сохраняя при этом практически полную анонимность. Это весьма прельщает злоумышленников, так что мы можем полагать, что тенденция останется прежней».
Именно по причине «смычки интересов» угроза и спама, и вирусов стоит теперь как никогда остро. Растущая активность пользователей в онлайне в сочетании с перспективой появления масштабных сетей, связывающих воедино множество мобильных сетевых устройств, экспоненциально повышают уровень угрозы.
«Пока вы находитесь дома, всегда есть шанс того, что кто-либо проникнет в компьютер и причинит вред, однако это еще цветочки, – полагает Стив Пардэм. – С выходом на улицу риск возрастает».
Это справедливо и для нынешней ситуации в ИТ-безопасности вообще. Вполне реально обеспечить высокую степень защищенности в офисе, однако растущая мобильность пользователей и увеличение дальности действия беспроводных сетей на протяжении 2004 г. привело к тому, что безопасность уже невозможно гарантировать с уверенностью. Качественный рост мобильности пользователей, отмеченный в уходящем году, привел к исчерпанию ресурсов систем защиты и в многом обессмыслил масштабную работу по защите периметра зданий, проведенную в предыдущие годы. Возрастает негативная роль «человеческого фактора». Он и ранее присутствовал во всех сетевых атаках, однако социальный инжиниринг и подверженность человека ошибкам привели к тому, что отныне этот фактор стал ключевым. Распространение беспроводного доступа и рост потребности в нем, мобильность устройств разных типов и ставшие для специалистов в области ИТ-безопасности настоящим «воплощением зла» модули памяти, подключаемые через USB-порт, привели в совокупности к тому, что концепция обеспечения защиты по периметру осталась в прошлом.
Но даже внутри прежнего периметра безопасность становится весьма сомнительной – в частности, благодаря распространению сервисов по рассылке текстовых сообщений и пиринговых сетей. Компании утрачивают контроль над потоками данных и средствами коммуникации собственных сотрудников. Особенно наглядно продемонстрировало, что компании не имеют представления о том, что творится в их сетях, появление проблемы шпионского ПО в нынешнем его объеме. Масштаб распространенности приложений, крадущих персональные и корпоративные данные – имена пользователей, пароли, персональную информацию, банковские данные, зачастую остается неизвестным простым пользователям. К тому же уровень шпионского ПО не стоит на месте – на смену программам, перехватывающим вводимые с клавиатуры символы, приходит ПО нового поколения, при каждом клике мыши или нажатии кнопки на клавиатуре копирующее изображение экрана компьютера и отсылающее его злоумышленникам.
Угрозу представляет собой не только кража критически важных данных. Обычная несекретная информация в умелых, но недобрых руках также может причинить огромный вред. По мнению специалистов MessageLabs обычные cookies и рекламное ПО, размещаемое на компьютерах пользователей заслуживающими доверия компаниями, сами по себе могут стать целью зловредных программ.
Преступный мир до такой степени поверил в свою безнаказанность, что перестает заботиться даже о сохранении скрытности. Так, от шантажа владельцев сайтов под угрозой взлома сетевого ресурса в 2004 г. особенно страдали онлайновые букмекерские конторы.
Проблема спама – это тема для отдельной книги. В 2004 г. эта напасть и невозможность справиться с ней довела, в частности, поисковую систему Lycos до эмоционального, но по-человечески понятного желания лечить «подобное подобным», предоставив своим пользователям возможность «бомбардировать» спамом тех, кто его рассылает. Очевидно, что в 2005 г. эта проблема не разрешится, а с быстрым распространением смартфонов грозит выйти на качественно новый уровень. Появление «вирусов-концептов» для мобильных телефонов в уходящем году свидетельствует о том, что над их созданием уже трудится армия вирусописателей.
Думаю, сейчас уже очевидно, что относиться наплевательски к безопасности собственных данных уже нельзя. Пострадать можно очень серьезно. И если ранее можно было проверять свой компьютер антивирусом время от времени, то сейчас совершенно ясно, что имеется необходимость серьезно подумать над антивирусной защитой вашей машины.
Рассмотрим несколько антивирусов, использование которых поможет вам в борьбе со всякой вредоносной «живностью», которая только и ждет шанса поселиться у вас на компьютере.
Какой антивирус лучше? Вечный вопрос и точка преткновения. В этом споре мы обратимся к независимым экспертам, а именно – к самому авторитетному международному изданию по тестированию вирусов Virus Bulletin. В феврале 2005 г. Virus Bulletin провел очередной «чемпионат мира» VB100 % Holders среди антивирусов. Все известные антивирусы состязались в «условиях, приближенных к боевым», на платформе Windows XP Professional. Каждому антивирусу противостояла громадная база вирусов и прочей нечисти. Все программы, которые на 100 % смогли обнаружить и обезвредить «врагов», получают награду VB 100 % award.
По итогам состязаний публикуется список антивирусов, прошедших и не прошедших испытание (в данном случае приводятся вирусы для платформы Windows XP Professional). He буду приводить список антивирусов полностью – кому интересно, смотрите сами: http://www.vi-rusbtn.com/vb 100/latest_comparative/index.xml. Если интересно, то можете посмотреть результаты соревнований по каждому конкретному антивирусу. Для этого перейдите по ссылкам «История результатов» на страницу статистики того или иного антивируса. У некоторых программ представлены результаты начиная с 1998 г. и операционной системы Windows 95. Я же остановлюсь на наиболее известных и используемых. Статус «PASS» означает, что антивирус прошел все испытания и отловил все предложенные ему вирусы. В строке «Product name» приводится название и версия тестированного продукта.
Итак, смотрим результаты тестирования антивирусов:
Alwil (Avast!)
Status: PASS
Product name: Alwil Avast! 4.5.555
Doctor Web (бывший DialogueScience)
Status: PASS
Product name: Doctor Web Dr.Web 4.32b
Eset (NOD32)
Status: PASS
Product name: Eset NOD32 1.956
H+BEDV (AntiVir)
Status: PASS
Product name: H+BEDV AntiVir 6.29.00.03
Kaspersky
Status: PASS
Product name: Kaspersky KAV 5.0.277
McAfee Inc. (formerly Network Associates)
Status: FAIL Product name: McAfee VirusScan 8.0.0 4415
Sophos
Status: PASS
Product name: Sophos AntiVirus 3.88.0
Symantec (Norton)
Status: PASS
Product name: Symantec SAV 9.0/0.338
Unasoft
Status: FAIL
Product name: UNA 1.83
VirusBuster
Status: PASS
Product name: VirusBuster VirusBuster 4.7.22
Как видно из результатов данного теста, большинство из современных антивирусов выдержали февральскую проверку. Очень интересно посмотреть еще историю этих проверок для каждого антивируса. Например, посмотрев историю для известного Dr. Web, мы увидим, что он достаточно часто подобные тестирования проваливает. Лично для меня это сигнал о том, что данный пакет не отличается стабильным качеством обновлений и даже имея последние обновления, я не могу быть в нем уверенным. Смотрю историю для H+BEDV (AntiVir), которым пользуюсь последний год. В последний год он явно улучшил свои показатели – до февраля 2004 г. он стабильно проваливал испытания, а последний год выправил положение.
Один из несомненных лидеров в антивирусном деле Symantec Antivirus – ни одного провала с 1999 г. А что вы хотели от качественного и недешевого продукта, да еще и бывшего детища «Norton».
А вот популярнейший в нашей стране антивирус Касперского стабильно проходит все испытания только с конца 2003 г. По моим собственным наблюдениям за последние полтора-два года этот антивирус превратился в настоящую машину по убийству вирусов, но рассмотрим его ниже.
Далее я расскажу понемногу о некоторых из этих пакетов. Возможно, мои суждения будут отличаться некоторым субъективизмом, но они не идут вразрез с фактическими данными вышеприведенного теста, проведенного крайне авторитетным изданием.
Я сознательно не останавливаюсь подробно на настройке этих пакетов. Описание этой настройки легко найти в Интернете, да и в большинстве случаев она достаточно интуитивна.
Symantec
Компания «Symantec» была создана в 1982 г. С течением времени она вобрала в себя опыт, знания и(что немало-важно) сотрудников более 17 различных компаний, среди которых такие брэнды, как «Peter Norton Computing Inc» (популярные утилиты для DOS, Windows и Macintosh); «THINK Technologies» (компиляторы THINK С и THINK Pascal для Macintosh); «Zortech Inc» (компиляторы C++ для различных платформ); «Contact Software International» (системы управления бизнес-контактами для DOS, Windows, Macintosh, Newton и HP Palmtops); «Central Point Software» (популярные утилиты для DOS, Windows и Macintosh, утилиты обслуживания сетей и антивирусы).
На сегодняшний день компания «Symantec» занимается разработкой, распространением и послепродажной сервисной поддержкой большого количества прикладного и системного ПО, ориентированных как на отдельных пользователей, так и на корпоративные сети. Программные продукты компании «Symantec» признаны и широко распространены во всем мире. Марка «Symantec» в последние годы – это гарантия высокого качества продуктов. В подавляющем большинстве продукты этой корпорации возглавляют соответствующие сегменты рынка информационных технологий.
Широко известны основные достоинства продуктов «Symantec»-простота и удобство применения, мощность и многообразие возможностей. Вот почему продукты компании «Symantec» отмечены не только многочисленными престижными призами компьютерной индустрии, но и самым главным призом – признанием и уважением покупателей. Не стали исключением и антивирусные продукты этой корпорации. Рассмотрим 2 из них:
– Symantec AntiVirus(tm) Enterprise Edition 8.6;
– Symantec AntiVirus Corporate Edition 8.1.
Symantec AntiVirus Enterprise Edition – полнофункциональная антивирусная программа, обеспечивающая надежную и многоуровневую защиту предприятия на почтовых и Интернет-шлюзах, сетевых серверах и рабочих станциях. Кроме того, это программное обеспечение позволяет системным администраторам блокировать нежелательные почтовые сообщения, например спам.
В программе Symantec AntiVirus Enterprise Edition используются передовые технологии и средства защиты всех уровней сети, благодаря чему ее применение позволяет избежать трудностей, связанных с построением системы защиты из разрозненных продуктов отдельных производителей. Консоль Symantec System Center, обеспечивающая централизованное управление, позволяет ИТ-специалистам без затруднений развертывать антивирусные решения, а также создавать, вводить в действие и обновлять политики безопасности, постоянно обеспечивая правильную настройку сетевых серверов и рабочих станций в масштабе всего предприятия вне зависимости от используемых платформ. Кроме того, консоль централизованного управления позволяет системным администраторам проводить аудит сети, обнаруживать незащищенные узлы, уязвимые для вирусных атак, а также определять, какие узлы защищены программным обеспечением Symantec AntiVirus Corporate Edition, McAfee(r) VirusScan(r), Trend Micro Of-ficeScan(tm), Computer Associates(r) и рядом антивирусных продуктов других производителей.
С помощью системы Digital Immune System(tm) программное обеспечение Symantec AntiVirus автоматически выполняет проверку и обнаружение новых вирусов и помещает их в изолятор, обеспечивая быструю, надежную и удобную систему защиты. Кроме того, уникальная межуровневая технология NAVEX(tm), разработанная компанией «Symantec», увеличивает время полезной работы системы и сокращает общие затраты на программное обеспечение, поскольку позволяет добавлять описания вирусов и расширения программных модулей без переустановки ПО или перезагрузки системы. Для повышения быстродействия и безопасности в новой версии программы используются файлы описаний вирусов уменьшенного размера и применяется многопоточная установка на серверы. Кроме того, получившие заслуженное признание программные средства «Symantec» совместимы с Windows(r) 2003, Netware(r) Secure Console и с 64-разрядным оборудованием Intel(r) Itanium(tm) 2, что позволяет внедрять на предприятии новейшие технологии, не нарушая его безопасности. Поддержку Symantec AntiVirus Enterprise Edition, как и всех программных продуктов Symantec, осуществляет «Symantec Security Response» – организация, занимающаяся исследованиями и обслуживанием пользователей в сфере Интернет-безопасности и являющаяся мировым лидером в этой области.
Symantec AntiVirus Corporate Edition предоставляет расширяемые, независимые от платформы средства антивирусной защиты для рабочих станций и сетевых серверов в масштабах предприятия.
Усовершенствованные функции безопасности в сочетании с централизованным управлением политиками позволяют системным администраторам создавать логические группы серверов и рабочих станций. Кроме того, администраторам предоставляются возможности разработки и применения политик безопасности, а также блокирования доступа к политикам и параметрам, что позволяет своевременно обновлять системы и поддерживать их правильную настройку.
Консоль централизованного управления позволяет системным администраторам проводить аудит сети, обнаруживать незащищенные узлы, а также определять, какие узлы защищены антивирусным программным обеспечением Symantec AntiVirus Corporate Edition, Computer Associates, McAfee, Panda, Sophos или Trend Micro. Это дает ИТ-специалистам возможность эффективно защитить узлы сети, прежде чем с ними что-либо произойдет, что в свою очередь гарантирует работоспособность систем и продуктивность работы пользователей.
В продукте Symantec AntiVirus Corporate Edition заложен механизм реагирования на вирусные инфекции, использующий предоставляемые компанией «Symantec» данные и обеспечивающий быстрые, надежные и удобные средства обнаружения вирусов, анализа их поведения и лечения поврежденных файлов. Даже при максимальном наплыве пользователей во время «эпидемии» разработанная корпорацией «Symantec» масштабируемая архитектура гарантирует быструю доставку всех описаний вирусов, требуемых для обеспечения полной защиты.
С помощью проводимой по запросу в масштабах всего предприятия сплошной антивирусной проверки, команда на проведение которой отдается с центральной консоли управления, достигается быстрая и эффективная нейтрализация вирусов на всех зараженных клиентских ПК и серверах сети.
Единый расширяемый модуль NAVEX с функциями антивирусного осмотра и лечения позволяет развертывать новые описания вирусов и модули расширения, не перезагружая сервер и не устанавливая приложения повторно. В результате увеличивается время бесперебойной работы системы и снижаются затраты на программное обеспечение.
Для повышения быстродействия это программное обеспечение работает с файлами описаний вирусов меньшего размера, а также использует многопоточную установку описаний на серверы. Технология LiveUpdate(tm) повышает степень безопасности, предоставляя системным администраторам возможности автоматического обновления описаний вирусов, включая обновление устаревших описаний.
Пользующееся заслуженным признанием программное обеспечение Symantec совместимо с Windows(r) Server 2003, Netware(r) Secure Console и с 64-разрядным оборудованием Intel(r) Itanium(tm) II, что позволяет внедрять на предприятии новейшие технологии, не нарушая его безопасности.
От себя рекомендую ставить именно Symantec AntiVirus Corporate Edition 9. Очень удобная, универсальная и достаточно простая система. Может работать как в варианте с антивирусным сервером, так и на отдельно стоящей машине. Единственное, что посоветую от себя, – это отключить систему Live Update.
Из одного инсталлера может ставиться как сервер, так и как клиент. Если ставите на отдельно стоящую машину, то ставьте клиент – обновления значительно меньше по объему, а качать их для обеспечения хорошей антивирусной защиты нужно достаточно регулярно (хотя бы один раз в 2 недели). Если ставите клиент без сервера, то обязательно отметьте опцию «Unmanaged» при установке, тогда ваш антивирус не будет хотеть соединиться с сервером.
«Лаборатория Касперского»
«Лаборатория Касперского» значительно младше корпорации «Symantec». Она была основана в 1997 г. Сегодня это без преувеличения самый известный в России разработчик широкого спектра программных продуктов для обеспечения информационной безопасности: систем защиты от вирусов, спама и хакерских атак. «Лаборатория Касперского» эффективно работает на международном рынке. Центральный офис находится в России, открыты представительства в Великобритании, Франции и США (Калифорния).
Так как современные вредоносные программы – это сложные многофункциональные системы, глубоко интегрированные в Интернет, традиционных антивирусных средств уже недостаточно для обеспечения надежной защиты от внешних угроз. Поэтому «Лаборатория Касперского» разработала персональный межсетевой экран Kaspersky(r) Anti-Hacker и уникальный комплекс фильтрации спама для сетей средних и малых масштабов Kaspersky(r) Anti-Spam.
Клиенты «Лаборатории Касперского» обеспечиваются широким спектром дополнительных услуг, гарантирующих бесперебойную работу продуктов и точное соответствие любым специфическим бизнес-требованиям.
Антивирус Касперского(г) Personal Pro разработан специально для опытных пользователей. Он обеспечивает полномасштабную защиту всех приложений и содержит новые уникальные компоненты и технологии.
Антивирус Касперского(г) Personal Pro постоянно контролирует все источники проникновения вирусов: электронную почту, Интернет, дискеты, компакт-диски и т. п. Программа не допустит присутствия вирусов ни в одном из возможных мест, включая системную память, загрузочные сектора, файлы и почтовые базы. Решение также содержит уникальные технологии защиты документов формата MS Office. Вирусы, находящиеся внутри архивированных и упакованных файлов, часто просто «невидимы» для антивируса. Антивирус Касперского Pro производит проверку архивированных и упакованных файлов более 900 версий, а также лечит файлы в архивах форматов ZIP, CAB, RAR, ARJ. Кроме того, программа позволяет обнаружить вирусную программу даже в файле, подвергавшемся сжатию несколько раз.
Антивирус Касперского(г) Personal Pro защищает компьютер в режиме реального времени, проверяя все файлы непосредственно в момент их запуска, создания или копирования. Антивирус Касперского(г) Personal Pro дает возможность проводить полномасштабную проверку всего содержимого локальных дисков по требованию пользователя или автоматически по расписанию.
Программа работает и с электронной почтой, автоматически проверяя все входящие почтовые сообщения на присутствие вирусов до их поступления в почтовый ящик и при необходимости осуществляя лечение. Исходящие сообщения также подвергаются проверке в режиме реального времени. Кроме того, программа позволяет проверять почтовые базы различных почтовых клиентов, а также осуществлять лечение в почтовых базах MS Outlook и Outlook Express по требованию. Наиболее тесная интеграция с почтовым клиентом The Bat!.
Антивирус Касперского(г) Personal Pro обеспечивает постоянный контроль над выполняемыми макросами в документах формата MS Office, пресекая все подозрительные действия. Это дает полную защиту практически от любых макровирусов, в том числе неизвестных, не оставляя им ни единого шанса нанести вашему компьютеру вред.
Антивирус Касперского Personal Pro – мощный барьер против потенциально опасных программ, предназначенных для удаленного наблюдения и управления компьютером, но не классифицируемых как вирусы. Это достигается за счет существенного расширения набора баз данных, определяющих программы класса riskware.
В общем и целом данный продукт наших отечественных разработчиков не уступает в эффективности западным коллегам, а по моим личным наблюдениям превосходит абсолютное большинство из них. Эффективность этого пакета, даже настроенного по умолчанию, просто потрясает. «Каспер» имеет в своем распоряжении настолько мощный механизм эвристического анализа, что часто обнаруживает новейшие вирусы со старыми базами.
Обновления – это отдельная песня. Они выходят каждый день. Если качать ежедневные обновления, то объем их – всего несколько килобайт (у каждого). Раз в один-два месяца выходят кумулятивные обновления, которые включают в себя всю базу целиком. Они более объемные. Команда, работающая над этими обновлениями, работает очень оперативно. Почти каждый новый вирус заносится в базу в течение суток, а иногда и часов.
Ну и как всегда, в этой бочке меда есть основательная ложка дегтя! При всей своей мощности, эффективности, русифицированности и интуитивности интерфейса этот пакет ужасно тормозит систему. Работа при включенном мониторе этого пакета даже на очень мощном компьютере меня сильно нервировала. Несмотря на все уверения, что новая версия этого антивируса будет очень быстрой, этот антивирус, пожалуй, самый жадный до компьютерных ресурсов. Вот она, расплата за мощнейший эвристический анализ и тщательность проверки файлов. Также у этого пакета, судя по всевозможным тестам, самое большое время проверки файлов.
Еще одна отличительная черта этого пакета – исключительная живучесть и плохая система удаления, которая иногда срабатывает правильно, а иногда просто не работает. Вычистка из системы этого антивируса вручную – занятие муторное и достаточно сложное.
Наверное, учитывая все вышесказанное, нужно рекомендовать использовать этот пакет только в случае крайней необходимости, т. е. при очень высокой опасности заражения системы вирусами или для проверки больших массивов архивов раз в месяц.
H+BEDV AntiVir Personal Edition
Данный антивирус далеко не «самый-самый». Лидером продаж никогда не был. Поместил я его в этот обзор, для того чтобы показать, чего можно добиться в антиви-русостроении, если четко знать, что ты хочешь получить в итоге. А получился добротный и шустрый антивирус, который в последний год заменил у меня на домашнем компьютере неповоротливого, хотя и мощного, «Каспера».
AntiVir Personal Edition производства небезызвестной «H+BEDV Datentechnik GmbH». Работает под всеми версиями Windows. Одним из его неоспоримых достоинств является его бесплатность. Если все предыдущие антивирусные пакеты стоят денег, да еще и немалых, то персональная версия AntiVir Personal Edition совершенно бесплатна. Вот ссылка на сайт производителя, где можно скачать программу и обновления к ней: http://www.free-av.com/.
Единственное неудобство этой программы, что обновления у нее достаточно «увесистые», но не больше обновлений к Symantec.
Но не только это привлекает к нему внимание многочисленных поклонников. Помимо бесплатности, он еще определяет и удаляет вирусы и троянские программы, имеет хорошо сделанный и отлаженный эвристический анализатор для поиска и удаления макровирусов.
Лично мне нравится его небольшой размер и скромное отношение к системным ресурсам. При всем при этом он отлично справляется со своей прямой задачей, а именно – с отловом вирусов и другой мерзости.
Антивирус резидентно висит в памяти, сканируя все, к чему обращается пользователь, но его можно запустить и для полного сканирования системы. Также у него есть достаточное количество настроек, стандартных для антивирусов. Надо сказать, что у «H+BEDV Datentechnik» есть еще коммерческая версия антивируса, но она, естественно, платная.
Еще этот антивирус привлекает лично меня тем, что его настройки по умолчанию подходят для большинства пользователей. Например, при «накачивании» софтом машины своих знакомых я ставлю свежую версию этой программы и даже не лезу в настройки. Не помню, чтобы за последние полгода у кого-то были проблемы с вирусами или с самой программой.
Обновления лучше всего производить, скачивая полный инсталлят с сайта производителя, так как движок этого антивируса постоянно переписывается, а обновления пишутся уже под формат нового движка. Это около 4 мегабайт. Перед обновлением обязательно удалите предыдущую версию. Она удаляется очень просто и безболезненно, в отличие от вышеописанного монстроподобного Касперского.
5.3. Критические обновления
Существует класс программ, без которых не сможет обойтись ни один пользователь. Эти программы называются операционными системами. Пожалуй, самыми популярными на данный момент являются операционные системы из «конюшни» компании «Microsoft» – системы семейства Windows (Windows 9x, Windows 2000, Windows XP и т. д.).
К сожалению, как бы не были совершенны языки программирования, при помощи которых создаются те или иные программы, избежать мелких недочетов и неточностей при таких объемах работы практически невозможно. Часто подобные недочеты и неточности могут привести к сбою в работе той или иной программы, а иногда к утечке важной информации.
После того как программный продукт выпущен на рынок, часто выясняется, что в программном продукте имеются ошибки, причем иногда очень серьезные. Чем отзывать назад все экземпляры проданного программного продукта, намного проще и удобнее выпустить некий пакет исправлений, который лечит обнаруженную ошибку. Такое положение характерно не только для насквозь коммерциализированной компании «Microsoft» с ее семейством «Виндо-вых». Такие же обновления регулярно выпускаются практически для всех существующих операционных систем.
Естественно, что такими «дырами» с успехом пользуются хакеры, или вирусописатели. Не стоит полагаться только на брандмауэр, отсекающий попытки врагов поживиться вашими данными. В самих брандмауэрах с периодичностью, наводящей на печальные мысли, находят такие «дыры».
Информацию о том, что выпущен тот или иной пакет исправлений, можно найти на домашней веб-странице компании, выпускающей данную операционку, в Интернете или получить по электронной почте, если вы подписаны на новости этой компании. Для получения полной информации о том, какие «критические обновления» установлены на вашем компьютере (при условии, что у вас на машине стоит Windows, а не что-то другое) и какие необходимо установить, нужно подключиться к Интернету и зайти по определенному адресу в нем, используя веб-браузер (Internet Explorer). Либо нажать кнопку «Пуск» («Start») и выбрать пункт меню «Windows Update», после этого автоматически запустится веб-браузер и загрузится необходимый адрес в Интернете.
Компания «Microsoft» уже выпустила достаточно много программных продуктов. По этой причине на любом компьютере может быть установлена любая из операционных систем, это может быть и Windows 98, а может и Windows ХР на русском языке или на английском. И для каждой из операционных систем имеется свой пакет «критических обновлений». К счастью, технологии, используемые на веб-сайте «Microsoft», избавляют пользователя от поиска нужных ему «критических обновлений», все будет сделано за него. Просто необходимо будет выбрать, какое из обновлений требуется скачать и установить. Более того, если у вас установлена операционная система на русском языке или в качестве системного языка используется русский язык, то краткое описание того или иного пакета «критических обновлений» и весь внешний вид на вебсайте «Microsoft» будет на русском языке.
Если вы впервые посещаете веб-сайт, где находятся все обновления и заплатки, то вам будет предложено установить более новую версию программы, которая осуществляет поиск, закачку и установку «критических обновлений». В этом случае появится дополнительное’ окно, которое попросит вас установить новую версию «Windows Update», в этом окне необходимо нажать кнопку «Yes» («Да»). Лично я предпочитаю не пользоваться автоматикой. Просто в системе Windows она слишком навязчива и считает себя умнее пользователя, а на деле сплошь и рядом выходит совсем наоборот.
Если вы все-таки решите обновлять все автоматически, то, после того как новая версия «Windows Update» установится, в Internet Explorer’e необходимо нажать «Просмотр и поиск обновлений» и перейти к поиску необходимых «критических обновлений».
После этого будет запущен процесс сканирования вашего компьютера. Будет определено, какие «критические обновления» уже установлены, а какие – отсутствуют и требуют установки. Необходимо дождаться окончания этого процесса! Это может занять несколько минут в зависимости от того, какова скорость вашего Интернет-соединения. После этого перед вами появится отчет, в котором будет присутствовать список «исправлений» с кратким описанием каждого из них.
Часто пакет «критических обновлений» занимает довольно большой объем, а в сумме объем всех предлагаемых для установки «исправлений» может быть довольно большим. Поэтому для начала можно ограничиться скачиванием и установкой только некоторых из них, к примеру двух или трех. Остальные можно пока не скачивать. Для этого нажмите на кнопку «Удалить» («Delete») внизу блока, в котором описывается тот или иной пакет «исправлений».
Обратите внимание на цифры чуть выше блока описания, которые показывают объем выбранных вами для скачивания «критических обновлений». Эти цифры будут уменьшаться каждый раз, как вы удаляете из списка какое-нибудь из «исправлений». После того как вы выбрали какие-то из «критических обновлений» и вы хотите скачать и установить их на ваш компьютер, необходимо нажать на кнопку «Установить». После этого выйдет окно «Лицензионного соглашения». Чтобы запустить процесс скачивания и установки выбранного вами пакета исправлений, необходимо нажать кнопку «Я согласен» («I agree»). Теперь необходимо дождаться окончания этого процесса. Вполне вероятно, это может занять довольно длительное время, в зависимости от того, какова скорость’ вашего соединения с Интернетом.
После успешной закачки и установки выбранных об-новлений вам будет предложено перезагрузить компьютер. Это необходимо сделать, для того чтобы произведенные исправления вступили в силу. Для этого нажмите кнопку «Ок», и ваш компьютер перезагрузится самостоятельно.
Для того чтобы полностью обеспечить безопасность вашей информации и обеспечить максимальную эффективность работы вашей операционной системы, придется установить все предлагаемые «критические обновления и исправления». Для этого необходимо повторить весь процесс сначала, т. е. зайти на веб-сайт компании «Microsoft», нажав кнопку «Пуск» («Start») и выбрав «Windows Update», произвести сканирование вашего компьютера, выбрать из списка необходимые «критические обновления», скачать и установить их на ваш компьютер.
Если вы, как и я, не доверяете автоматике скачивать для вас обновления, а хотите иметь дистрибутив обновления, то милости просим на Microsoft Security Bulletin Search no адресу: http://www.microsoft.com/technet/security/current.aspx?productid= 180 amp;servicepac-kid=0 amp;submitl=go amp;isie=yes.
Здесь, выбрав из длиннющего выпадающего списка систему или программу от «Microsoft», вы можете выбрать, среди каких обновлений вы желаете искать. Все обновления здесь разбиты на четыре группы по степени важности: Critical (Критические), Important (Важные), Moderate (Средние), Low (Низкие). Я обычно качаю только критические и важные. Просто нет столько времени качать это все. Обычно этого хватает.
Помните, что время от времени, хотя бы один или два раза в месяц, необходимо посещать веб-сайт компании «Microsoft», для того чтобы контролировать появление новых «критических обновлений». Это поможет вам не оставить ни одной лазейки в безопасности вашего компьютера.
Глава 6. Защита данных на компьютере
Ужасно обидно, когда из-за хакерской атаки виснет компьютер или гибнет операционная система. Обидно, но в большинстве случаев несмертельно. Операционная система переустанавливается с дистрибутива. На машину заливается весь софт (дистрибутивы всегда должны быть под рукой). А может, вы заранее приготовили «образ» диска вашей системы с большинством необходимых вам программ и теперь восстановление занимает у вас минут 15-20, не более?
Гораздо хуже, когда в результате таких атак погибают или крадутся данные. Вот тут уже дело хуже. Конечно же все критические данные должны быть скопированы на отдельные носители и эти копии должны постоянно обновляться. Но дело в том, что злоумышленники могут украсть ваши данные с этих носителей. Это может произойти, даже если машина не подключена к сети, а стоит в офисе или дома. Носители информации могут быть украдены физически. Сам компьютер может быть украден. Тогда вся информация, содержавшаяся на украденных носителях, станет достоянием злоумышленников…
Но есть способы не допустить этого или по крайней мере предельно затруднить извлечение конфиденциальной информации при таких условиях. Информация должна быть шифрована и закрыта паролем – это самый простой и надежный способ.
На данный момент имеются различные системы шифрования данных и способы идентификации пользователя. Они бывают аппаратные или программные. Аппаратные предполагают приобретение дополнительных программно-апппаратных комплексов для осуществления шифрования. Такие устройства стоят весьма ощутимых денег и вряд ли подходят для таких целей дома или в небольшой фирме (разумеется, если вы не занимаетесь разработкой ракетного оружия или не держите у себя сведения о золоте инков). Так что остановим наш выбор на чисто программных системах шифрования и аутентификации пользователя.
Системы шифрования применялись со стародавних времен. Огромное количество информации, не предназначенной для чужих глаз, передавалось в кодированном виде. Параллельно оттачивалось и искусство декодирования… Сейчас с применением математических алгоритмов шифрования криптология (наука о шифровании) вышла на качественно иной уровень.
Сохранить что-либо важное в секрете – большая проблема. Бумаги с вашего стола могут запросто прочитать, а папки на сервере – просмотреть, внедрив вирус на компьютер секретаря. В этом смысле самыми надежными хранителями конфиденциальной информации являются зашифрованные виртуальные диски.
Под понятием «виртуальный диск» подразумевается некое специально выделяемое пространство на винчестере, физически представляющее собой файл-контейнер. При помощи программы, которой он был создан, контейнер можно «монтировать» к операционной системе в качестве обычного логического диска.
Работа с подобным диском ничем не отличается от работы с обычными накопителями. Единственное отличие заключается в том, что виртуальный привод несколько медленнее настоящего. Это обусловлено процессом шифрования файлов, который происходит во время их записи на виртуальный диск, и процессом дешифровки – соответственно, при считывании.
Еще одно преимущество виртуального диска перед другими методами защиты данных заключается в том, что файлы дисков можно переносить с компьютера на компьютер с помощью различных носителей и можно делать их резервные копии на тех же носителях, причем защита их от этого не страдает.
Рассмотрим несколько таких программ и сравним их.
6.1. BestCrypt
Версия: BestCrypt 7.11 Адрес в Интернете: http://www.jetico.com/ Одна из самых известных у нас в стране программ для создания виртуальных шифрованных дисков BestCrypt работает с несколькими алгоритмами, с помощью которых создаются ключи пользователей и выполняется шифровка/дешифровка данных. Если в предыдущих версиях программы использовался алгоритм DES, имеющий длину ключа 56 бит, то в текущей версии применяется более продвинутый AES, у которого это значение составляет 256 бит. Помимо стандарта AES, программой поддерживается и российский алгоритм, соответствующий ГОСТу 28147-89. Поддерживаются также алгоритмы Blowfish и Twofish. При желании пользователь может самостоятельно определить алгоритм, который будет использоваться в программе по умолчанию.
Контейнеры могут создаваться как на локальных, так и на сетевых дисках. Доступ к такому диску можно открыть для нескольких пользователей. При этом совсем не обязательно раздавать всем один и тот же пароль: в программе предусмотрена возможность назначения дополнительных паролей доступа.
Для удобства работы можно создать группы дисков. Контейнеры в них могут объединяться, например, по типу содержащейся в них информации. Для более надежной защиты данных имеется возможность создания защищенного диска внутри уже имеющегося. При создании такого вложенного контейнера для- него можно использовать иной алгоритм шифрования и независимый пароль. В этом случае скрытый контейнер не будет виден в окне Проводника, а содержимое неподключенного контейнера просмотреть не удастся. Предусмотрена и защита от удаления контейнера – утилита Container Guard Utility. Без знания пароля удалить файл виртуального диска не получится. Естественно, защищенными оказываются только контейнеры, находящиеся на компьютере с установленной программой BestCrypt. Контейнеры же, расположенные на сетевых ресурсах, удалить труда не составляет.
На нынешний момент начиная с седьмой версии в программе появилась возможность шифрования файла подкачки операционной системы.
6.2. Dekart Private Disk
Версия: Dekart Private Disk 2.04 Адрес в Интернете: http://www.dekart.com Простой и понятный интерфейс позволяет быстро освоить работу с данной утилитой. В главном окне программы три основных закладки: «Disk», «Options» и «Recovery». На первой расположены основные органы управления защищенным диском, посредством «Options» можно получить доступ к настройкам программы, a «Recovery» содержит средства для восстановления данных.
Для создания нового виртуального диска нужно перейти на вкладку «Disk» и выбрать соответствующую опцию. В открывшемся окне будет предложено указать размер будущего тома (следует помнить, что в дальнейшем его нельзя будет изменить), его тип (съемный, скрытый, только для чтения), имя диска, место его размещения и букву, под которой он будет отображаться. Потребуется также ввести пароль для доступа к информации. Ограничение- для пароля только одно – он должен содержать не менее пяти символов.
С помощью программы можно создавать резервные копии защищенных дисков, которые при этом будут еще и архивироваться, и впоследствии восстанавливать данные из них. Кроме того, можно сохранить в вид’е отдельного файла ключ шифрования. При помощи него можно будет расшифровать защищенный диск даже в том случае, если вы забыли пароль. Файл, в котором хранится ключ, для надежности можно зашифровать так же, как и основной контейнер.
Среди настроек программы можно выделить возможность автоматического подключения зашифрованных дисков при старте компьютера и присвоение виртуальному диску определенной буквы (на разных компьютерах диск будет обозначаться строго той буквой, которая была присвоена ему при создании, а не той, которую выдаст ему операционная система).
6.3. «Индис»
Версия: «Индис» 2.1
Адрес в Интернете: http://www.lancrypto.com
«Индис» использует для шифрования дисков несколько алгоритмов с высокими скоростными показателями, и пользователь имеет возможность самостоятельно выбирать, с каким из них работать. Например, «Веста4» на компьютере Pentium II с частотой 400 МГц обеспечивает обработку более одного гигабайта данных в секунду. Среди используемых алгоритмов нет тех, которые приняты в качестве государственных, но стоит сказать, что используемый алгоритм «Веста2» принят в качестве стандарта газовой отрасли России.
В начале работы необходимо создать секретный ключ, который будет использоваться для доступа к диску и шифрования данных. Сохранить его можно на различных носителях – на диске в виде файла, на USB Token, устройствах USB iKey и т. п. Созданные ключи можно переносить с одного носителя на другой, делать их резервные копии, защищать паролем. Владелец диска (администратор) может предоставить доступ к нему и другим пользователям, работающим с программой, на основе их личных ключей.
Помня о том, что во время работы конфиденциальная информация из оперативной памяти может перекочевать в файл подкачки, разработчики «Индис» снабдили свое детище функцией кодирования данных при их отправке в SWAP-файл и его очистки при выходе из приложения.
Стоит отметить опцию гарантированного удаления файлов. После ее включения в настройках программы все файлы, которые удаляет пользователь, не подлежат восстановлению. Опцию дублирует пункт «Удалить безвозвратно», который появляется в контекстном меню Проводника после установки «Индис».
Как и положено, в программе есть возможность резервного копирования данных. Копия зашифрованного диска может создаваться в момент его подключения/отключения или же просто с установленной периодичностью.
6.4. Paragon Encrypted Disk
Адрес в Интернете: http://www.encrypted-disk.com
Программа Paragon Encrypted Disk располагает незатейливым интерфейсом и может работать в качестве системного сервиса, никак не напоминая пользователю о своем присутствии. Ту часть программы, которая отвечает за создание виртуального диска (Encrypted Disk Manager), запускать придется крайне редко: после того как диск создан, доступ к его настройкам можно получить, щелкнув по нему правой кнопкой мыши в Проводнике Windows и выбрав из появившегося контекстного меню пункт «Properties».
Как и предыдущие программы, Paragon Encrypted Disk создает файлы-контейнеры, которые можно размещать на различных носителях и переносить с одного компьютера на другой. Шифрование данных осуществляется с помощью ключа (по умолчанию для его хранения используется дискета) либо пароля. Существенный минус – ключевой файл не защищается паролем, поэтому, выкрав его, злоумышленник сможет получить доступ к информации, размещенной на зашифрованном диске.
Для шифрования данных используется один из двух всемирно известных алгоритмов – Blowfish с 448-битным ключом или Triple DES с 192-битным. Созданные файлы-контейнеры могут автоматически подключаться в качестве логических дисков при старте системы. На виртуальные диски можно установить атрибут «только для чтения», что удобно в том случае, когда владелец диска хочет разрешить доступ к информации другим пользователям.
6.5. Steganos Security Suite
Версия: Steganos Security Suite 7.0.9 Адрес в Интернете: http://www.steganos.com Steganos Security Suite – это комплект из семи утилит, которые предоставляют разнообразные возможности по защите информации. Но, поскольку нас в контексте данной статьи интересуют только возможности программы по созданию зашифрованных дисков, остановимся на одной из них – Steganos Safe. Размер дисков, создаваемых этой программой, должен быть не меньше 10 Мбайт. Для шифрования информации используется алгоритм AES с размером ключа 256 бит, причем скорость шифровки/дешифровки достаточно велика.
При создании нового диска, естественно, требуется задать пароль доступа к нему. Особенность Steganos Safe заключается в том, что она располагает перечнем обще-употребимых слов, которые опасно использовать в качестве ключа. Если введенное вами слово или выражение попадает в этот «черный список» либо состоит из одних лишь цифр, программа выдаст предупреждение о плохом качестве выбранного пароля.
В комплекте программ Steganos Security Suite есть еще одна утилита, предназначенная для сохранения файлов в защищенных хранилищах на CD-R/RW, DVD и различных картах памяти. После того как виртуальный диск создан и для него задан пароль, в указанной пользователем директории появится папка «Portable Safe package files». Когда диск скомпонован, запускается процесс его кодирования. После этого в папке «Portable Safe package files» сохраняются файл-контейнер виртуального диска и утилита, при помощи которой его можно монтировать на другом компьютере.
6.6. Zdisk
Адрес в Интернете: http://www.securit.ru
Наконец, еще одна программа, обеспечивающая создание зашифрованных логических дисков, – это Zdisk. Основной ее отличительной особенностью является то, что размер диска может быть увеличен даже после его создания.
Единственное дополнительное требование для работы с программой – наличие USB-порта. Он потребуется для подключения электронного ключа (iKey 1000) или устройства для чтения смарт-карт (ACR30S). Они понадобятся для хранения ключей шифрования и доступа. Программу Zdisk можно установить на нескольких компьютерах без нарушения лицензионного соглашения – вот только ключ как был, так и останется один на всех.
Для того чтобы начать работать с программой, кроме нее, у вас должен быть либо электронный ключ, либо смарт-карта (в комплект поставки входит один из этих компонентов). Во время установки потребуется выбрать устройство, с которым вы будете работать, и программа установит соответствующий драйвер. После этого при помощи «Мастера первого шага» будет произведена генерация личного ключа. При этом будет создана и его резервная копия.
Процесс создания диска делится на несколько этапов. На первом выбирается существующий логический диск, на котором будет создан файл-контейнер, указывается, будет ли диск автоматически подключаться при старте системы. На втором этапе указывается его размер. Здесь имеется несколько вариантов. Можно указать размер в мегабайтах или в процентах от свободного места на диске-носителе. Размер виртуального диска может быть ограничен объемом свободного пространства, которое должно остаться на логическом диске после его создания. Также можно установить максимальный размер, до которого новый диск может быть расширен.
При следующих шагах создаются пароли и ключи доступа. Сначала основной пароль, который вы будете использовать для подключения к диску. В качестве алгоритма шифрования предлагается использовать собственный алгоритм Zdisk с длиной ключа 128 бит. И под конец вам опять-таки придется принять участие в формировании рабочего ключа создаваемого диска.
Также можно настроить процедуру резервного копирования диска. Этот процесс может выполняться как в ручном, так и в автоматизированном режиме по индивидуальному алгоритму для каждого виртуального диска.
В программе есть возможность создать пароль, ввод которого приведет к уничтожению ключа и, как следствие, отказу в доступе к информации на защищенном диске-контейнере. Такая функция пригодится в случае, если есть опасение, что вас против желания заставят открыть доступ к информации.
Стоит упоминания и такая функция, как «Красная кнопка». При нажатии определенной комбинации горячих клавиш отключаются все виртуальные диски.
6.7. WinRAR
Версия: WinRAR 3.42
Адрес в Интернете: http://rarlab.com/
Как ни странно, в этот обзор попал и этот известный архиватор. Дело в том, что если вы хотите скрыть информацию не от профессиональных взломщиков криптоло-гических систем, а просто от окружающих, то достаточно заархивировать эти данные и защитить паролем. Даже такая защита затруднит доступ к вашим данным, особенно если пароль будет достаточно длинным и не-предугадываемым, так как обычно такие архивы ломаются перебором пароля.
ТЕЛЕГРАМКанал с обзорами, анонсами новинок и книжными подборками
Книжный Вестник
Бот для удобного поиска книг (если не нашлось на сайте)
Поиск книг
Свежие любовные романы в удобных форматах
Любовные романы
О психологии, саморазвитии и личностном росте
Саморазвитие
Детективы и триллеры, все новинки
Детективы
Фантастика и фэнтези, все новинки
Фантастика
Отборные классические книги
Классика
ВКОНТАКТЕБиблиотека с любовными романами, которая наверняка придётся по вкусу женской части аудитории
Любовные романы
Библиотека с фантастикой и фэнтези, а также смежных жанров
Фантастика
Самые популярные книги в формате фб2
Топ фб2
книги