47587 (566458), страница 6
Текст из файла (страница 6)
Эвристический анализ - попытка применить "искусственный интеллект". Создателям антивирусного ПО известны "привычки" злодеев. На основании анализа поведения проверяемого объекта, его структуры, антивирус может заподозрить неладное и сообщить об этом пользователю. Легальный пользователь может отправить подозрительный объект производителю своего антивируса для исследования, или просто удалить.
Основным признаком компьютерного вируса является способность распространяться. До тех пор, пока глобальные сети не обрели множество пользователей, основным средством распространения вирусов являлись дискеты. Для того, чтобы заразить компьютер, необходимо было запустить инфицированный исполняемый файл, открыть документ, зараженный макровирусом, а иногда достаточно просто просмотреть содержимое дискеты. Такой способ распространения актуален и поныне. Если Ваш компьютер без видимых причин обращается к дисководу (загорается индикатор, дисковод издает характерные звуки), значит какая-то программа пытается обнаружить диск в устройстве. Это может быть свидетельством активности вируса.
В наше время наибольшей опасности подвержены пользователи сетей, прежде всего Интернет, распространение которого подготовило почву новым злодейским технологиям. Прежде всего, на смену дискетам пришла электронная почта. Тут наблюдается практически полная аналогия. Иногда достаточно просто "открыть" письмо в почтовом клиенте или окне браузера, не говоря об открытии безобидного с виду файла, фотографии, например, чтобы заполучить на компьютер заразу.
"Шагом вперед" стали "почтовые черви", рассылающие сами себя по адресам из адресной книги, если таковая имеется на зараженном компьютере.
Настоящим прорывом было появление интернет-червей, распространяющихся безо всякой почты. Червь, обосновавшись на одном из компьютеров, начинает сканировать определенный диапазон адресов в поисках следующих жертв. Уязвимому компьютеру достаточно войти в сеть и "ждать своего часа". Впрочем, если "повезет", достаточно и минуты. Заметьте, для того, чтобы заразиться, не обязательно посещать какие-то, сайты, читать почту и так далее.
Далеко не каждый станет писать вирус из любви к искусству или из тщеславия. В последнее время чаще всего мотивом является получение материальной выгоды. Вот несколько схем получения таковой:
1. Вирус обследует компьютер жертвы на предмет файла, содержащего пароли доступа в интернет, высылает пароли "хозяину". В итоге хозяин вируса пользуется интернетом за счет жертвы. Удел школьников. Таких умников как правило ловят.
2. Вирус протоколирует ввод с клавиатуры и высылает отчеты хозяину. Таким образом злодей может получить пароли доступа к чему угодно, включая банковский счет. К счастью, для доступа к счету обычно требуется еще и "ключ" (например, специально подготовленная дискета). Комментарии излишни.
3. Вирус ищет на компьютере жертвы документы, интересующие хозяина.
4. Хозяин вируса - "звонилки" организует телефонную компанию, звонки на телефоны - платные (тариф - космический). Вирус меняет на компьютере жертвы телефон дозвона до интернет-провайдера. На другом конце запросто может стоять модем, и даже обеспечивать доступ в интернет (сам не видел, но могу предположить). Пока там пользователь разберется, почему не работает интернет (а если работает???)...
5. Хозяин вируса регистрирует платный интернет-сайт. О том, что сайт платный и счет придет посетителю от его (посетителя) поставщика услуг связи (телефонной компании), предупреждают. Другое дело, что предупреждение это в лучшем случае на английском языке (а если на санскрите каком-нибудь?). Вирус может либо поменять стартовую страницу Вашего браузера (при входе в сеть автоматически загружается страница с заманчивым содержимым), либо другим способом направлять Вас на сайт-ловушку.
6. Хозяин вируса - злобный хакер. Здравомыслящий злодей всегда позаботится о своей безопасности, одним из способов обеспечения анонимности является использование цепочки компьютеров-посредников между машиной хакера и жертвой. Добровольцев предоставить свои компьютеры в качестве посредников при взломе найдется немного, и несчастному хакеру приходится зомбировать чужие машины с помощью вируса.
7. Опять злобный хакер решил пошалить. То ли ему не угодили чем, то ли заказ поступил, захотелось хакеру провести на определенный интернет-сервер атаку класса Dos (отказ в обслуживании). Например, засыпать запросами до такой степени, что либо канал передачи данных "забьется", либо сам сервер перестанет справляться с работой. Даже если запросы сформированы особым образом (некорректные запросы), то их все равно должно быть много. А забить запросами канал (как правило, достаточно широкий) по силам только целой армии "клиентов" сервера. Организовать такую армию помогает вирус. Зараженные машины докладывают "хозяину" о готовности. Когда злодей сочтет количество "бойцов" достаточным, он может отдать команду атаковать жертву.
8. Теперь о самых неприятных злодеях. Если слово "хакер" окутано ореолом таинственности, тем более, что рядовой пользователь не ощущает на себе негативных последствий от действий хакера, то спамеров в интернет-сообществе ненавидят все. Этот гадкий народец занимается рассылкой писем, в которых что-то рекламируется. Если Ваш почтовый ящик стал известен спамерам, готовьтесь к тому, что в половине поступающих писем (а бывает и 90%) содержится ненужная Вам реклама. Это не только мешает разбирать корреспонденцию, но и бьет по карману, если ваш почтовый клиент забирает всю почту с сервера, а Вы оплачиваете этот трафик. Так вот, для рассылки спама или для сбора адресов электронной почты (для включения в спамерскую базу) могут использоваться зомбированные компьютеры.
РАБОТА 6. ИССЛЕДОВАНИЕ СИСТЕМЫ БЕЗОПАСНОСТИ ОС
Используя знания и навыки, полученные в курсе "Операционные системы", реализуйте наиболее безопасные настройки ОС Вашего ПК.
Если в эпоху однозадачных операционных систем вирусы могли распространяться лишь благодаря беспечности пользователей, запускающих непроверенные программы (или перехватывать управление при обращении к загрузочному сектору дискеты), то в многозадачных системах им полное раздолье. Во время работы в оперативную память загружено, помимо пользовательских приложений, множество служебных сервисов, которые готовы получать данные друг от друга, от пользователя, и даже из сети. В идеале эти данные должны проверяться на предмет их "правильного" происхождения и назначения, но, из-за ошибок программистов, это происходит не всегда должным образом. Программы, содержащие такие ошибки, называют уязвимыми, наличие самих ошибок - уязвимостями, а воплощенное в программном коде решение, способное эксплуатировать уязвимость - эксплойтом.
Классическим, но не единственным, типом уязвимостей является возможность переполнения буфера. Каждой программе выделяются для хранения своих данных определенные участки памяти. Если вернуться к примеру из раздела "немного о вирусах", то начальник имеет привычку (странный такой) оставлять пустое место на листе с приказом, чтобы любой из сотрудников мог вписать свой комментарий. Сам по себе комментарий никого особенно не волнует. И тут, злодей вписывает комментарий не на полстраницы, как предполагалось, а на всю, затирая начисто начальный документ. В идеале размер "комментария" должен контролироваться, но это происходит не всегда. Переполнив буфер, злодей "подсовывает" вредоносный код процессору для исполнения.
Уязвимости в программном обеспечении обнаруживаются чаще, чем многие думают. Добропорядочный программист часто публикует информацию об обнаруженной им ошибке (по различным причинам). Производитель уязвимого ПО, в идеальном случае, быстро реагирует, выпуская "заплатку", называемую обычно "патчем" или "обновлением". Если уязвимость обнаружена, всегда найдутся злодеи, которые ее используют в своих злодейских целях.
Таким образом, претендовать на звание "неуязвимой" может программа (в том числе операционная система), включающая все обновления (установлены все патчи). Заметьте, только претендовать, поскольку часть ошибок найдена злодеями, которые не спешат делиться информацией.
Патчи и обновления обычно доступны на сайтах производителей ПО. Как было показано выше, даже установка полного комплекта официальных заплаток не решит всех проблем. Для обеспечения "локальной" безопасности неплохо иметь программу, способную оповещать о подозрительной активности приложений, чтобы пользователь сам мог принять решение, позволять ли программе те или иные действия. Такими функциями (как дополнительными) обладает большинство файерволов.
РАБОТА 7. ЗАЩИТА ОТ СЕТЕВЫХ АТАК
Задание. Установить и настроить межсетевой экран.
Нижеприведенный текст взят с одного из сайтов с сохранением стиля автора.
Изначально межсетевой экран (файервол) служил для ограничения доступа к локальным сетям извне. Сейчас популярны комплексные решения. Если речь идет о "профессиональном" применении, то это отдельное устройство, умеющее не только фильтровать пакеты, но и обнаружить попытку сетевой атаки. Нам, простым пользователям, достаточно иметь программный файервол. Даже "простенький" файервол не ограничивается контролем интернет-трафика, он предупреждает о любой подозрительной активности приложений, спрашивая пользователя о том, что разрешать делать приложению, а что - нет. Это является и "недостатком". Первое время придется отвечать на вопросы, причем отвечать правильно. Я видел ситуации, когда пользователь ошибочно заблокировал доступ в интернет своему интернет-браузеру. В итоге - соединение с провайдером устанавливается, но, ни один сайт не открывается.
К файерволам мы вернемся очень скоро, ведь настала пора перейти к чисто сетевой безопасности.
Прежде, чем освещать сетевые атаки, неплохо ознакомиться с принципами функционирования сетей. Эти знания могут оказаться полезными и для устранения неполадок своими силами. Тех, кто желает всерьез изучить проблему, отсылаю к серьезным материалам. Простому человеку не обязательно читать всякие RTFSы. Моя цель - помочь пользователю обоснованно выбрать уровень защиты. Здесь приходится руководствоваться необходимой достаточностью, а определение этой "достаточности" - индивидуально.
Если вы - пользователь Интернет, ваш компьютер постоянно отправляет и получает данные. Отправляются запросы на получение информации, сама информация (например, почта). Получаются служебные ответы (готовность сервера, данные о размере скачиваемого файла и т.д.), и сами данные.
Представим себе работу двух штабов дружественных армий во время совместных учений. Российский генерал просит китайского поддержать наступление огнем с моря. Как происходит обмен информацией? Составляется письмо, передается шифровальщику, уже зашифрованное - радисту. Последний отстукивает письмо в эфир азбукой Морзе. Китайский радист получает "морзянку", шифровальщик расшифровывает, с удивлением обнаруживает, что послание на русском языке и отдает его переводчикам. Только теперь можно считать, что письмо дошло до адресата. Заметим, что нашим генералам по рангу не положено задумываться об азбуке Морзе, методах шифрования и радиопередатчиках. Также, как пользователь не обязан ничего знать о семи сетевых уровнях взаимодействия. Самым интересным для нас является IP - протокол интернета. Этот протокол должен понимать любой компьютер в сети Интернет, как все радисты способны пользоваться "морзянкой". Известно, что, при организации связи часто используются кабельные линии. Если на пути встречается преграда, например - река, то в место разрыва по берегам устанавливают два приемо-передатчика (ретрансляторы, это выгоднее, чем тянуть по дну кабель), далее могут использоваться и спутниковые каналы, и снова кабельная линия. Два "радиста" используют морзянку и могут ничего не знать о методах передачи сигнала по кабельным или радиоканалам с их аппаратурой уплотнения. Сети передачи данных, на которых базируется интернет, столь же сложны, но оконечные устройства, например Ваш компьютер, понимает IP, независимо от установленной операционной системы.
В соответствии с концепцией IP, данные преобразуются в отдельные "пакеты", которые могут (но не обязаны) нести в себе помимо куска данных и информации о пункте отправки и назначения, сведения о том, кусок чего именно содержится в пакете, как его стыковать с остальными частями. Понятно, что не существует идеальных каналов для передачи данных, а значит часть пакетов будет содержать ошибки, пакеты достигают цели в "неправильной" последовательности или вообще не достигают. Иногда это не критично. Поскольку теряется лишь небольшая часть пакетов, передачу можно повторить несколько раз (разумный подход, если сообщение небольшое). Сетевик увидит здесь дейтаграммный протокол (UDP), который базируется на протоколе IP и не гарантирует доставку сообщений. Протоколы TCP/IP располагают средствами для надежной доставки за счет установления виртуального соединения. В процессе такого соединения общаются уже две пользовательские программы. "Принимающая" сторона уведомляется о количестве отправленных пакетов и способе их стыковки, и, если какой-то пакет не дошел, просит повторить отправку. Здесь уже можно сделать два практических вывода. Первый: если сигнал сильно искажается или много помех, то значительная часть пакетов проходят с ошибками, что приводит к множеству повторных отправок, то есть, снижается реальная скорость передачи данных. Отсюда и возникает понятие ширины (пропускной способности) канала. Второй вывод: если отправит все заявленные пакеты кроме одного, принимающая сторона не закроет виртуального соединения, ожидая опаздывающего. Если насоздавать множество таких соединений, принимающему компьютеру будет тяжко, поскольку под каждое соединение резервируется участок памяти, а память не резиновая. По такому принципу строили сетевые атаки, "подвешивая" компьютер жертвы.
Чтобы понять процесс установления соединения, необходимо рассмотреть систему идентификации компьютеров в сети. Если мы говорим об интернет, то у каждого компьютера есть уникальное имя, называемое IP - адресом. выглядит он может примерно так: 213.180.204.11 Трудновато для запоминания, поэтому придумали доменные имена, состоящие из "нормальных" символов, например www.yandex.ru. Если в командной строке Вашего интернет-браузера набрать http://213.180.204.11, то это будет равноценно http://www.yandex.ru. Каждое доменное имя соответствует определенному IP - адресу. Как я узнал IP знаменитой поисковой системы? Можно использовать специальную программку, а можно выполнить команду "ping". Если у Вас Windows, нажмите кнопку "Пуск", кликните на пункте "выполнить". Нам предлагают выполнить на компьютере какую-нибудь команду, скомандуем cmd (введем cmd в поле "открыть"), откроется окно командного интерпретатора. Теперь мы можем видеть вводимые команды и результат их выполнения. Итак, командуем ping yandex.ru, жмем "Enter" и получаем результат. Результат будет положительным, если ваш компьютер подключен к Интернет. В этом случае Вам покажут время прохождения пробных пакетов до сервера yandex, а заодно ip - адрес. В роле "переводчика" выступает DNS - сервер, специальный компьютер, хранящий таблицы соответствия доменных имен ip-адресам, причем таких компьютером может быть много. Интернет изначально задумывался как отказоустойчивая сеть (для военных в США), а надежность должно было обеспечить отсутствие единого центра. Группа пакетов, отправленная в рамках одного соединения, может идти разными путями (на то она и всемирная паутина), управляется этот процесс маршрутизаторами, хранящими различные пути до различных подсетей. Теперь понятно, почему очередность поступления пакетов адресату может отличаться от исходной. Также понятно, что, если злодей подменит запись в таблице адресов, то вместо нужного сайта клиент может угодить на сайт-двойник, где введет свои пароли и другие данные. Утешает то, что подмена таблиц публичных DNS является весьма трудным делом. Но, следует помнить, что браузер первым делом просматривает локальную таблицу, хранящуюся в специальном файле на Вашем компьютере. Если вирусу удастся внести туда свою запись, то введя www.yandex.ru, Вы запросто можете попасть на совершенно другой сайт, быть может, внешне похожий. Если ваш файервол сообщает, что какая-то программа пытается изменить файл с таблицей адресов, стоит обследовать компьютер на предмет опасной заразы.
Для установления соединения мало знать адрес компьютера. Непременными атрибутами запроса на подключение являются протокол (язык, на котором решено общаться) и номер порта, к которому мы подключаемся. Протокол мы каждый раз указываем в адресной строке браузера (тот самый http, хотя можно набрать ftp и связаться с ftp-сервером, если он есть на сервере). Номер порта обычно явно не указывается, в этом случае для http подразумевается порт 80, на котором "висит" интернет-сервер (не в смысле "мощный компьютер", а в смысле "программа, обслуживающая клиентские приложения". На компьютере может быть запущено множество сервисов (тот же ftp), каждый слушает "свой" порт. Если интернет-браузеры обеспечивают в основном подключение по http и просмотр web-страниц, то для подключения к другим сервисам существуют специальные программы, как стандартные, так и "хакерские" Если установлена программа ICQ, то она открывает свой порт и "слушает" его на предмет желающих подключиться и пообщаться. Чем больше на машине запущено сетевых сервисов, тем больше вероятность, что среди них найдется уязвимый, ведь каждый открытый порт - дверь систему, а надежен ли замок - тот еще вопрос. Существует целый класс программ - сканеры портов, которые опрашивают заданный диапазон портов, перебирая номера и выдают список открытых. Забегая вперед, скажу, что есть "сканеры безопасности", которые не только сканируют порты, но и исследуют в автоматическом режиме целевой хост на наличие всех известных уязвимостей.
Итак, сетевые атаки. Банки и без моей помощи разберутся с хакерами, мне ближе проблемы простого пользователя. Об этом и поговорим.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
