Mõned inimesed veedavad kogu oma elu ettevõtete ja üksikisikute turvalisuse parandamise nimel. Ja nad kulutavad märkimisväärse osa sellest ajast Windowsi aukude lappimisele. Windowsi süsteem on zombisid (roboteid) loova pahavara peamine kanal, nagu on kirjeldatud peatükis 5, ja see on vaid jäämäe tipp. Ausalt öeldes on suures osas süüdi Windowsi tohutu populaarsus, kuid Windows 7-s on nii palju auke, et pole selge, kas keegi Microsoftist hoolib.
Ohte on kolm peamist tüüpi. Esiteks, spetsiaalselt sihitud rünnak inimese poolt, kes üritab teie arvutit läbi häkkida võrguühendus. Teiseks teie arvuti klaviatuuri taga istuva inimese rünnak. Lõpuks võib juhtuda automaatne rünnak, mille viib läbi uss või muud tüüpi pahavara.
Windows 7 ja isegi varasem Vista sisaldab kasutajakonto juhtimist, mis peaks aitama peatada soovimatute ja soovimatute tarkvarainstallide laine – selle kohta, aga ka paroolide ja krüptimise kohta rohkem
ütleb 7. peatükis. Enamik rämpsu tuleb aga teie võrguühenduse kaudu, nii et just sealt peaksite alustama oma arvuti kaitsmist. Windows 7 operatsioonisüsteem sisaldab mitmeid funktsioone, mis võimaldavad pakkuda teatud turvalisuse taset ilma täiendavat tarkvara või riistvara ostmata.
Kahjuks pole paljud neist funktsioonidest vaikimisi lubatud. Järgmised tegurid on lüngad, mida ei tohiks eirata.
O Halb: UPnP-protokolli haavatavus
Teine funktsioon nimega UPnP (Universal Plug-and-Play) võib teie võrgus avada täiendavaid haavatavusi. Rohkem sobiv nimi UPnP puhul oleks see Network Plug and Play, kuna see funktsioon käsitleb ainult võrguseadmeid. UPnP on standardite kogum, mis võimaldab hiljuti ühendatud seadmetel reklaamida
teie kohaloleku kohta UPnP serverid teie võrgus, peaaegu sama, mis USB-seadmed teatama oma kohalolekust Windowsile kuuluvale süsteemile
Väliselt näeb UPnP funktsioon hea välja. Kuid praktikas pole UPnP-standardi autentimise puudumine ja see, kui lihtne pahavara saab UPnP-d tulemüüri augustada ja ruuteris pordiedastusreegleid luua, vaid probleem. UPnP-d kasutatakse nüüd mõne mängu, enamiku meediumilaiendite, kiirsõnumite, kaugabi jms jaoks, mis selgitab, miks see on Windows 7-s ja paljudes võrguseadmetes vaikimisi lubatud. Aga kui te seda ei vaja, siis on parem see välja lülitada.
Kui valite esmakordsel ühenduse loomisel valiku Avalik võrk uus võrk või võrgu- ja ühiskasutuskeskuse kaudu
^j ühiskasutuskeskus), siis on UPnP vaikimisi keelatud.
UPnP keelamiseks avage aken 01usb (services.msc). Otsige loendist üles teenus SSDP Discovery Service ja klõpsake tööriistaribal nuppu Peata teenus. Samal ajal peaks peatuma ka UPnP-seadme host. Kui ei, siis lõpeta ka see. Nüüd testige kõiki rakendusi või seadmeid, mis teie arvates võivad kasutada võrgutuvastust, näiteks meediumiservereid või laiendusi. Kui teil pole ühtegi neist, saate UPnP täielikult keelata, topeltklõpsates igal teenusel ja valides käivitustüübi loendist Disabled. Vastasel korral käivituvad need teenused uuesti järgmisel Windowsi käivitamisel.
Nüüd avage ruuteri konfiguratsioonileht (kirjeldatud selles peatükis varem) ja keelake UPnP-teenus. See on vajalik selleks, et rakendused ei kehtestaks uusi pordiedastusreegleid. Kui teie ruuter ei luba teil muuta UPnP seaded, kaaluge rohkematele üleminekut uus versioon püsivara, nagu on kirjeldatud jaotises „Ruuteri uuemale versioonile üleviimine”.
O Halb: avatud portide haavatavus
Otsige oma süsteemist turvaauke, kasutades avatud pordi skannimist, nagu on kirjeldatud selles peatükis hiljem.
O Hea: kaugtööruum, kuid ainult vajaduse korral
Kaugtöölaua funktsioon, mida on kirjeldatud jaotises " Kaugjuhtimispult arvuti" on operatsioonisüsteemides Windows 7 Professional ja Ultimate vaikimisi lubatud. Kui te seda funktsiooni spetsiaalselt ei vaja, peaksite selle välja lülitama. Avage juhtpaneelil Süsteem ja seejärel valige link Kaugjuurdepääsu sätted. Süsteemi atribuutide akna lehel Remote Access (Kaugjuurdepääs) lülitage välja märkeruut Luba kaugabi ühendused selle arvutiga ja märkige allpool ruut Ära luba selle arvutiga ühendusi luua.
O Ok: konto parool
Teoreetiliselt ei tööta failide jagamine kontode puhul, millel pole parooli, mis on uue kasutajakonto loomisel vaikeseade. Aga paroolita konto ei paku mingit kaitset selle eest, et keegi sinu klaviatuuri taga istub ja kui tegu on administraatoriõigustega kasutajakontoga, siis on uks avatud ka igale teisele selle arvuti kasutajale. Vt 7. peatükki aruteluks kontosid kasutajad ja paroolid.
Teave kodurühmade ja failide jagamise kohta
Iga jagatud kaust on potentsiaalselt avatud uks. Sellepärast avatud juurdepääs tuleks anda ainult neile kaustadele, mis seda tõesti vajavad. Pange tähele, et failiõigused ja jagamisload on Windows 7 puhul erinevad asjad. Seda käsitletakse üksikasjalikumalt 7. peatükis.
O Halb: häälestusviisardi haavatavus avalik juurdepääs
Töörühma loomise üks peamisi põhjuseid on failide ja printerite jagamine. Kuid mõistlik on jagada ainult neid kaustu, mida on vaja jagada, ja keelata jagamine kõigi teiste jaoks. Funktsioon nimega Use Sharing Wizard, mida on kirjeldatud 2. peatükis ja mida on üksikasjalikult käsitletud peatükis 7, ei anna teile täielikku kontrolli selle üle, kes saavad teie faile vaadata ja muuta.
O Halb: jagatud haldusressursside haavatavus
Jagamisfunktsioon, mida käsitletakse 7. peatükis, annab juurdepääsu kõigile teie arvuti draividele, olenemata sellest, kas jagate nendel draividel olevaid kaustu.
Hea: tulemüür
Konfigureerige allpool kirjeldatud tulemüür nii, et see kontrolliks rangelt võrguvoogu arvutisse ja arvutist, kuid ärge lootke piisava kaitse tagamiseks Windowsi sisseehitatud tulemüüri tarkvarale.
A Hea: tugikeskus on hea, kuid te ei tohiks sellele täielikult tugineda. Joonisel fig. 6.28 on haldamiseks kasutatav juhtpaneeli keskne leht Windowsi tulemüür, Windows Defender, UserAccount Control ja automaatsed värskendused. See juhib ka viirusetõrjeprogramme, kuid puhtpoliitilistel põhjustel pole Windows 7-l oma viirusetõrjeprogramme.
Kõige tähtsam on see, et Action Center on vaid vaataja. Kui see näeb, et antud kaitsemeede on aktiveeritud, olenemata sellest, kas see töötab aktiivselt, on Action Centeril hea meel ja te ei saa teateid.
Kas olete tugikeskuse sõnumitest tüdinud? Klõpsake vasakus servas lingil Muuda tegevuskeskuse sätteid ja valige, millistest probleemidest tasub teatada ja milliseid võite ignoreerida. Saate keelata kõik tegevuskeskuse sõnumid, lülitades välja kõik sellel lehel olevad märkeruudud, kuid kogu funktsiooni täielikuks deaktiveerimiseks peate avama teenuste akna (services.msc) ja lülitama tegevuskeskuse välja. See ei keela tulemüüri, viirusetõrjet ega automaatseid värskendusi, mida võite kasutada, vaid ainult nende tööriistade jälgimistööriistu ja nendega kaasnevaid sõnumeid.
Siin ei saa te tulemüüri ega pahavaratõrje seadeid muuta. Selleks peate naasma juhtpaneelile ja avama seal vastava programmi.
Võrgukaitse on täielik ja vajalik meetmete kogum, mis hõlmab korraldamist, loomist tarkvara, samuti füüsiliste ja tehniliste abinõude rakendamine. Ainult selline kompleks suudab tagada teaberessursi omaduste maksimaalse saavutamise.
Teabeallikad
Tänapäeval on vaja hoolikalt hoolitseda teaberessursside konkreetsete omaduste krüpteerimise eest. Võrkude kaitsmine on võimalik, kui võetakse vajalikud meetmed. Infovõrgul on mitu peamist omadust:
Arvutivõrgu kaitsmine kutsumata külaliste eest
Kui võrk pole parooliga kaitstud, siis traadita ühendus volitamata kasutajad võivad ühenduse luua. Enamasti ei tee nad seda tahtlikult, vaid ainult tänapäevase tõttu mobiilseadmed ja vidinad ühenduvad automaatselt võrguga. Arvutivõrkude kaitsmine hoiab ära planeerimata liikluse tarbimise. Kuid mõnel juhul võib olukord halveneda. Mõnikord hakkavad kasutajad kaitsmata ühenduse kaudu ebaseaduslikku sisu alla laadima.
Kui omanik personaalarvuti ei ole võtnud meetmeid võrgu kaitsmiseks kolmandate isikute volitamata juurdepääsu eest, siis seab ta end ohtu. Peate minema ruuteri liidesesse ja muutma oma võrgu juurdepääsuandmeid. Ruuteri aadress on näidatud juhistes, mis väljastatakse sellise seadme ostmisel. Kui seda seal pole, saate IP-aadressi määrata oma võrguseadme abil. Selleks avaneb brauseriaken, kus tuleb reale sisestada aadress 192.168.1.1.
Miks on vaja arvutivõrku turvata?
Kui kaitse kohalik võrk puudub täielikult, siis võib see muutuda peamiseks ja peamiseks ohuallikaks. Paljud kaasaegsed häkkerid saavad olemasolevate turvamata ühenduste tuvastamiseks kasutada spetsiaalseid nuusutajaprogramme. Häkkerid saavad kiiresti ja hõlpsalt kinni püüda erinevatelt teenustelt saadud isikuandmeid.
Kui kodu- või kontoriarvuti traadita võrgul on turvamata ühendus, peaksid kasutajad olema äärmiselt ettevaatlikud. Jagatud kaustades olevat sisu saavad kasutada paljud teised kasutajad. Selle põhjuseks on arvutikaitse puudumine ja eksperdid soovitavad kõigil suurte organisatsioonide kasutajatel ja juhtidel luua kodurühm, mis on kaitstud keeruka parooliga.
Häkkimine
Viimastel aastatel on arvuti ebaseadusliku häkkimise eest kaitsmiseks kõige populaarsemaks muutunud mitmed meetodid:
- MAC-aadresside järgi filtreerimine.
- SSID peitmine, st võrgu nime klassifitseerimine.
Võrgu kaitsmine nende meetmetega ei taga kasutajatele täielikku turvalisust. Häkkerid saavad adapteri kasutamisel võrgu nime kiiresti kindlaks teha. Muudetud draiveri abil saate lülituda spetsiaalsesse jälgimisrežiimi. Programmid, mida nimetatakse nuusutajateks, aitavad teil selle ülesandega toime tulla.
Häkkerid jälgivad arvutivõrku seni, kuni kasutaja või klient sellega ühenduse loob. Järgmisena saate pakettandmetöötluse abil kliendi võrgust eemaldada. ajal taasühendamine klient, saavad ründajad näha kasutatava võrgu nime.
See protsess võib paljudele tunduda keeruline, kuid praktikas pole see absoluutselt nii. Kogu protseduur ei kesta kauem kui viis minutit.
Petuprogramm arvutivõrgu häkkimiseks
Tänapäeval on häkkerite seas eriti nõutud ja populaarne tarkvarapakett nimega Aircrack-ng. Küberpetturid kasutavad seda adapterite kiireks häkkimiseks traadita võrk. Lisaks nuusutajale sisaldab esitletav programm spetsiaalset rakendust, mis võimaldab teil alla laadida ja muuta kõik vajalikud adapteri draiverid.
Programm pakub ka WEP-võtme taastamise võimalust. Tänapäeval on suur hulk meetodeid, mis võimaldavad teil kiiresti ja lihtsalt häkkida arvutivõrk. Kuid klient või personaalarvuti kasutaja saab kaitsta oma seadet, kuhu võrgukaitseprogramm installitakse. Sellel on terve pakett rakendusi, mis kaitsevad teie arvutit häkkerite volitamata häkkimise eest.
Seadme kaitsmiseks petturite eest peate leidma uusima püsivara, mis toetab uusi krüptimismeetodeid. IN eriprogrammid Teie personaalarvuti kaitsmiseks on kogu andmete krüptimiseks vajalik püsivara juba saadaval. Kui kasutaja ei värskenda, võib traadita võrguadapter olla ohus.
Avalik leviala
Avalikud asutused pakuvad tasuta juurdepääsu traadita võrgule. Need muutuvad küberpetturite jaoks atraktiivseks kogunemispaigaks. Nendest läbib suur summa, mida hiljem kasutatakse kontode häkkimise vahendina või kohvikutes, hotellides või paljudes teistes võib leida tasuta juurdepääsupunkte.
Kuid mitte ainult küberpetturid ei saa teada paroole ja muud olulist teavet. Teised kasutajad, kes selle võrguga ühenduse loovad, saavad pealt kuulata inimese isikuandmeid. Sageli jälgitakse kontosid erinevatel saitidel.
Interneti ja küpsiste kaitsmine on sisendteabe krüpteerimiseks vajalik meede. Tänapäeval on suur hulk ründemeetodeid, mis on väga lihtsad. Isegi algaja häkker või asjatundlik kasutaja saab neid kasutada. Laiendust nimega Firesheep kasutatakse paljudes kaasaegsetes brauserites. See rakendus võimaldab teil automaatrežiim leida ja lugeda teiste kasutajate kontosid.
Kuidas kaitsta oma koduvõrku?
Võrgujuurdepääsu kaitsmine on kohustuslik meede, mida iga personaalarvuti kasutaja peab võtma. Kui ruuter on kaitstud WPA2 krüptimisega, ei ole arvuti ja teave enam häkkerite poolt ohus. Traadita võrgu parooli ei ole soovitatav sõpradele ja tuttavatele avaldada. Nende vidinad ja mobiilseadmed võivad olla nakatunud pahavaraga.
Hiljuti on kasutusele võetud uued ruuterid, mis sisaldavad külalisrežiimi. Selle peamine eelis on see, et ruuter loob eraldi võrgu oma parooliga. See parim kaitse võrgud, sest sel juhul seda ei kasutata.
Kuidas saate oma arvutit kaugjuurdepääsu eest kaitsta? Kuidas blokeerida brauseri kaudu juurdepääs arvutile?
Kuidas kaitsta oma arvutit kaugjuurdepääsu eest, mõtlevad nad tavaliselt siis, kui midagi on juba juhtunud. Aga loomulikult see vale otsus isikule, kes tegeleb vähemalt mõne oma tegevusega. Ja kõigil kasutajatel on soovitatav piirata võõraste juurdepääsu arvutile. Ja selles artiklis ei käsitle me arvutisse sisselogimiseks parooli määramise meetodit, vaid vaatame võimalust keelata juurdepääs arvutile kohalikust võrgust või teisest arvutist, kui need on ühendatud samaga. võrku. See teave on eriti kasulik uutele arvutikasutajatele.
Ja nii, operatsioonisaalis Windowsi süsteem Seal on funktsioon nimega "Kaugjuurdepääs". Ja kui see pole keelatud, saavad teised kasutajad seda teie arvuti üle kontrolli saamiseks ära kasutada. Isegi kui olete juht ja peate oma töötajaid jälgima, vajate loomulikult juurdepääsu nende arvutile, kuid peate oma arvuti sulgema, et need samad töötajad ei vaataks teie kirjavahetust teie sekretäriga - see on täis. .
| Esmasp | W | kolmap | Neljap | P | laup | Päike |
|---|---|---|---|---|---|---|
| 1 | ||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 |
| 23 | 24 | 25 | 26 | 27 | 28 | 29 |
| 30 | 31 | |||||
REKLAAM
Nagu tavaliselt, reklaamitakse veebiprojekte. Tavaliselt püüavad SEO tekstikirjutajad teksti sisestada võimalikult palju otsingupäringuid, kallutades neid
Peamiste nüansside mõistmine, mis eristavad võltsitud iPhone'e päristoodetest, aitab säästa raha ja vältida hooletutelt müüjatelt ostmist. Milleks?
Võrguusside epideemia probleem on asjakohane iga kohaliku võrgu jaoks. Varem või hiljem võib tekkida olukord, kui võrgu- või e-posti uss tungib kohtvõrku ja kasutatav viirusetõrje seda ei tuvasta. Võrguviirus levib LAN-i kaudu operatsioonisüsteemi haavatavuste kaudu, mis ei olnud nakatumise ajal suletud, või kirjutatavate haavatavuste kaudu jagatud ressursse. Meiliviirus, nagu nimigi ütleb, levib e-posti teel, eeldusel et kliendi viirusetõrje ja viirusetõrje seda ei blokeeri. meiliserver. Lisaks saab LAN-is epideemia korraldada seestpoolt siseringi tegevuse tulemusena. Selles artiklis vaatleme praktilisi meetodeid LAN-arvutite tööanalüüsiks, kasutades erinevaid tööriistu, eriti kasutades autori utiliiti AVZ.
Probleemi avaldus
Kui võrgus tuvastatakse epideemia või ebatavaline tegevus, peab administraator kiiresti lahendama vähemalt kolm ülesannet:
- tuvastada võrgus nakatunud arvutid;
- leida pahavara näidised viirusetõrje laborisse saatmiseks ja töötada välja vastutegevuse strateegia;
- võtta meetmeid viiruse leviku tõkestamiseks kohtvõrgus ja selle hävitamiseks nakatunud arvutites.
Insaidertegevuse puhul on analüüsi põhietapid identsed ja taanduvad enamasti vajadusele tuvastada siseringi poolt LAN-arvutitesse installitud kolmanda osapoole tarkvara. Sellise tarkvara näideteks on utiliidid kaughaldus, klahvilogijad ja erinevad trooja järjehoidjad.
Vaatleme üksikasjalikumalt iga ülesande lahendust.
Otsige nakatunud arvuteid
Nakatunud arvutite otsimiseks võrgust saate kasutada vähemalt kolme meetodit.
- automaatne arvuti kauganalüüs - teabe hankimine töötavate protsesside, laaditud teekide ja draiverite kohta, iseloomulike mustrite otsimine - näiteks protsessid või eesnimedega failid;
- arvutiliikluse uurimine nuusutaja abil - see meetod on väga tõhus rämpsposti, e-posti ja võrguusside püüdmiseks, kuid peamine raskus nuusutaja kasutamisel tuleneb sellest, et kaasaegne kohtvõrk on ehitatud lülitite baasil ja nagu Selle tulemusena ei saa administraator kogu võrgu liiklust jälgida. Probleemi saab lahendada kahel viisil: käivitades ruuteris nuusutaja (mis võimaldab jälgida andmevahetust arvuti ja Interneti vahel) ja kasutades lülitite jälgimisfunktsioone (paljud kaasaegsed kommutaatorid võimaldavad määrata jälgimispordi mille ühe või mitme administraatori määratud kommutaatori pordi liiklust dubleeritakse);
- võrgu koormuse uuring - sel juhul on seda väga mugav kasutada nutikad lülitid, mis võimaldavad teil mitte ainult koormust hinnata, vaid ka kaugjuhtimisega keelata administraatori määratud pordid. See toiming on oluliselt lihtsustatud, kui administraatoril on võrgukaart, mis sisaldab teavet selle kohta, millised arvutid on ühendatud vastavate kommutaatori portidega ja kus need asuvad;
- meepottide kasutamine – on tungivalt soovitatav luua kohalikku võrku mitu meepotti, mis võimaldavad administraatoril epideemia õigeaegselt tuvastada.
Arvutite automaatne analüüs võrgus
Arvuti automaatanalüüsi saab taandada kolmeks põhietapiks:
- arvuti täieliku skannimise läbiviimine - protsesside käivitamine, laaditud teegid ja draiverid, automaatne käivitamine;
- operatiivuuringute läbiviimine - näiteks iseloomulike protsesside või failide otsimine;
- objektide karantiini teatud kriteeriumide järgi.
Kõiki ülaltoodud ülesandeid saab lahendada autori utiliidi AVZ abil, mis on mõeldud käivitamiseks serveri võrgukaustast ja toetab skriptikeelt arvuti automaatseks kontrollimiseks. AVZ-i käitamiseks kasutaja arvutites peate:
- Asetage AVZ lugemiseks avatud serveri võrgukausta.
- Looge selles kaustas LOG ja Qurantine alamkataloogid ja lubage kasutajatel neisse kirjutada.
- Käivitage AVZ LAN-arvutites, kasutades rexec-utiliiti või sisselogimisskripti.
AVZ käivitamine sammus 3 tuleks teha järgmiste parameetritega:
\\minu_server\AVZ\avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Script=\\minu_server\AVZ\my_script.txt
Sel juhul alandab parameeter Priority=-1 AVZ protsessi prioriteeti, parameetrid nw=Y ja nq=Y lülitavad karantiini režiimile “võrgukäivitus” (sel juhul luuakse karantiinikausta alamkataloog iga arvuti puhul, mille nimi ühtib arvuti võrgunimega), käseb HiddenMode=2 keelata kasutaja juurdepääsu GUI-le ja AVZ-juhtelementidele ning lõpuks määrab kõige olulisem skripti parameeter skripti täisnime koos käsud, mida AVZ kasutaja arvutis käivitab. AVZ skriptikeelt on üsna lihtne kasutada ja see on keskendunud ainult arvutiuuringu ja -ravi probleemide lahendamisele. Skriptide kirjutamise protsessi lihtsustamiseks võite kasutada spetsiaalset skriptiredaktorit, mis sisaldab veebipõhist viipa, standardsete skriptide loomise viisardit ja tööriistu kirjutatud skripti õigsuse kontrollimiseks ilma seda käivitamata (joonis 1).
Riis. 1. AVZ skriptiredaktor
Vaatame kolme tüüpilist skripti, mis võivad epideemiavastases võitluses kasulikud olla. Esiteks vajame arvuti uurimisskripti. Skripti ülesandeks on süsteemi uurimine ja tulemustega protokolli koostamine antud võrgukaustas. Skript näeb välja selline:
ActivateWatchDog(60 * 10);
// Alustage skannimist ja analüüsi
// Süsteemi uurimine
ExecuteSysCheck (GetAVZDirectory+
'\LOG\'+GetComputerName+'_log.htm');
//AVZ sulgemine
Selle skripti täitmise ajal luuakse kausta LOG HTML-failid võrguarvutite uuringu tulemustega (eeldusel, et see luuakse serveris AVZ kataloogis ja on kasutajatele kirjutamiseks saadaval) ning tagada unikaalsus, on protokolli nimes ka uuritava arvuti nimi. Skripti alguses on käsk valvekoera taimeri lubamiseks, mis lõpetab AVZ-protsessi jõuliselt 10 minuti pärast, kui skripti täitmisel ilmnevad tõrked.
AVZ-protokoll on mugav käsitsi uurimiseks, kuid automatiseeritud analüüsi jaoks on sellest vähe kasu. Lisaks teab administraator sageli pahavara faili nime ja peab vaid kontrollima selle olemasolu või puudumist see fail ja võimalusel karantiini analüüsimiseks. Sel juhul saate kasutada järgmist skripti:
// Luba valvekoera taimer 10 minutiks
ActivateWatchDog(60 * 10);
// Otsige pahavara nime järgi
QuarantineFile('%WinDir%\smss.exe', 'Kahtlane LdPinch.gen'i suhtes');
QuarantineFile('%WinDir%\csrss.exe', 'Kahtlane LdPinch.gen'i suhtes');
//AVZ sulgemine
See skript kasutab määratud failide karantiini seadmiseks funktsiooni QuarantineFile. Administraator saab karantiini failide olemasolu tuvastamiseks analüüsida ainult karantiini sisu (kaust Quarantine\network_name_PC\quarantine_date\). Pange tähele, et funktsioon QuarantineFile blokeerib automaatselt turvalise AVZ andmebaasi või Microsofti digitaalallkirjade andmebaasi poolt tuvastatud failide karantiini. Praktiliseks kasutamiseks saab seda skripti täiustada – korraldada failinimede laadimine välisest tekstifailist, kontrollida leitud faile AVZ andmebaasidest ja genereerida töö tulemustega tekstiprotokoll:
// Otsige määratud nimega faili
function CheckByName(Fname: string) : tõeväärtus;
Tulemus:= FailExists(FName) ;
kui tulemus, siis alusta
case CheckFile(FName) of
1: S:= ‘, juurdepääs failile on blokeeritud’;
1: S:= ‘, tuvastatud pahavarana (‘+GetLastCheckTxt+’)’;
2: S:= ‘, kahtlustab failiskanner (’+GetLastCheckTxt+’)’;
3: väljumine; // Ohutuid faile ignoreeritakse
AddToLog(’Failil ‘+NormalFileName(FName)+’ on kahtlane nimi’+S);
//Lisa määratud fail karantiini
QuarantineFile(FName,'kahtlane fail'+S);
SuspNames: TStringList; // Kahtlaste failide nimede loend
// Failide kontrollimine värskendatud andmebaasiga
kui FileExists(GetAVZDirectory + ‘failid.db’), siis alusta
SuspNames:= TStringList.Create;
SuspNames.LoadFromFile('failid.db');
AddToLog('Nimede andmebaas laaditud - kirjete arv = '+inttostr(SuspNames.Count));
// Otsingutsükkel
i:= 0 jaoks SuspNames.Count – 1 teha
CheckByName(SuspNames[i]);
AddToLog('Viga failinimede loendi laadimisel');
SaveLog(GetAVZDirectory+’\LOG\’+
GetComputerName+'_files.txt');
Selle skripti toimimiseks peate looma AVZ kaustas kataloogid Karantiin ja LOG, mis on kasutajatele kirjutamiseks juurdepääsetavad, samuti tekstifail files.db – selle faili iga rida sisaldab kahtlase faili nime. Failinimed võivad sisaldada makrosid, millest kõige kasulikumad on %WinDir% (tee aadressile Windowsi kaust) ja %SystemRoot% (tee kausta System32). Teine analüüsisuund võiks olla kasutaja arvutites töötavate protsesside nimekirja automaatne uurimine. Info jooksvate protsesside kohta on süsteemi uurimisprotokollis, kuid automaatseks analüüsiks on mugavam kasutada järgmist skripti fragmenti:
protseduur ScanProcess;
S:= ''; S1:= '';
// Protsesside loendi värskendamine
RefreshProcessList;
AddToLog(’Protsesside arv = ‘+IntToStr(GetProcessCount));
// Saadud loendi analüüsi tsükkel
i:= 0 jaoks GetProcessCount - 1 alustage
S1:= S1 + ‘,’ + ExtractFileName(GetProcessName(i));
// Otsige protsessi nime järgi
if pos('trojan.exe', väiketähed(GetProcessName(i))) > 0, siis
S:= S + GetProcessName(i)+’,’;
kui S<>''siis
AddLineToTxtFile(GetAVZDirectory+’\LOG\_alarm.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S);
AddLineToTxtFile(GetAVZDirectory+’\LOG\_all_process.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S1);
Protsesside uurimine selles skriptis toimub eraldi ScanProcessi protseduurina, nii et seda on lihtne oma skripti paigutada. ScanProcessi protseduur koostab kaks protsesside loendit: täielik nimekiri protsessid (edaspidiseks analüüsiks) ja protsesside loend, mida administraatori seisukohast peetakse ohtlikuks. Sel juhul peetakse demonstratsiooni eesmärgil protsessi nimega „trojan.exe” ohtlikuks. Teave ohtlike protsesside kohta lisatakse tekstifaili _alarm.txt, kõigi protsesside andmed faili _all_process.txt. On lihtne näha, et saate skripti keerulisemaks muuta, lisades seda, näiteks kontrollides protsessifaile ohutute failide andmebaasi või kontrollides käivitatavate protsessifailide nimesid väline alus. Sarnast protseduuri kasutatakse Smolenskenergos kasutatavates AVZ-skriptides: administraator uurib perioodiliselt kogutud teavet ja muudab skripti, lisades sellele turvapoliitikaga keelatud programmide protsesside nimetused, näiteks ICQ ja MailRu.Agent, mis võimaldab saate kiiresti kontrollida keelatud tarkvara olemasolu uuritavates arvutites. Protsesside loendi saab kasutada ka arvutite leidmiseks, millel puudub nõutav protsess, näiteks viirusetõrje.
Kokkuvõtteks vaatame viimast kasulikku analüüsiskripti - skripti automaatseks karantiiniks kõigi failide jaoks, mida turvaline AVZ andmebaas ja Microsofti digitaalallkirjade andmebaas ei tuvasta:
// Tehke autokarantiin
ExecuteAutoQuarantine;
Automaatne karantiin uurib töötavaid protsesse ja laaditud teeke, teenuseid ja draivereid, umbes 45 automaatse käivitamise meetodit, brauseri ja exploreri laiendusmooduleid, SPI/LSP töötlejaid, planeerija töid, prindisüsteemi töötlejaid jne. Karantiini eripäraks on see, et sellele lisatakse failid korduskontrolliga, mistõttu saab autokarantiini funktsiooni korduvalt välja kutsuda.
Automaatse karantiini eeliseks on see, et selle abil saab administraator kiiresti potentsiaali koguda kahtlased failid kõigist võrgus olevatest arvutitest, et neid uurida. Lihtsaim (kuid praktikas väga tõhus) failide uurimise vorm võib olla tekkiva karantiini kontrollimine mitme populaarse viirusetõrjega maksimaalses heuristilises režiimis. Tuleb märkida, et automaatse karantiini samaaegne käivitamine mitmesajal arvutil võib tekitada võrgu ja failiserveri suure koormuse.
Liiklusuuring
Liiklusuuringuid saab läbi viia kolmel viisil:
- nuusutajate käsitsi kasutamine;
- poolautomaatses režiimis - sel juhul kogub nuusutaja teavet ja seejärel töödeldakse selle protokolle kas käsitsi või mõne tarkvara abil;
- automaatselt, kasutades sissetungi tuvastamise süsteeme (IDS), nagu Snort (http://www.snort.org/) või nende tarkvara või riistvara analooge. Kõige lihtsamal juhul koosneb IDS nuusutajast ja süsteemist, mis analüüsib nuusutaja kogutud informatsiooni.
Sissetungituvastussüsteem on optimaalne tööriist, kuna see võimaldab luua reeglite komplekte võrgutegevuse anomaaliate tuvastamiseks. Selle teine eelis on järgmine: enamik kaasaegseid IDS-e võimaldab liikluse jälgimise agente paigutada mitmesse võrgusõlme - agendid koguvad teavet ja edastavad seda. Nuusutaja kasutamise puhul on väga mugav kasutada konsooli UNIX sniffer tcpdump. Näiteks tegevuse jälgimiseks pordis 25 ( SMTP protokoll) lihtsalt käivitage nuusutaja käsurida tüüp:
tcpdump -i em0 -l tcp port 25 > smtp_log.txt
Sel juhul püütakse paketid em0 liidese kaudu; teave püütud pakettide kohta salvestatakse faili smtp_log.txt. Protokolli on suhteliselt lihtne käsitsi analüüsida. Selles näites võimaldab pordi 25 tegevuse analüüsimine tuvastada aktiivsete rämpspostirobotidega personaalarvuteid.
Honeypoti rakendus
Meepotina saab kasutada vananenud arvutit, mille jõudlus ei võimalda seda tootmisprobleemide lahendamiseks kasutada. Näiteks 64 MB Pentium Pro kasutatakse edukalt autori võrgus lõksuna RAM. Sellesse arvutisse peaksite installima kõige tavalisema kohtvõrgu operatsioonisüsteemi ja valige üks järgmistest strateegiatest:
- Installige operatsioonisüsteem ilma värskenduspakettideta - see näitab aktiivse võrguussi ilmumist võrku, mis kasutab selle operatsioonisüsteemi mõnda teadaolevat turvaauku;
- installige operatsioonisüsteem koos värskendustega, mis on installitud teistele võrgus olevatele arvutitele - Honeypot on analoogne mis tahes tööjaamaga.
Igal strateegial on nii oma plussid kui miinused; Autor kasutab peamiselt võimalust ilma uuendusteta. Pärast Honeypoti loomist peaksite looma ketta kujutise, et kiiresti taastada süsteem pärast seda, kui see on pahavara poolt kahjustatud. Kettapildi alternatiivina saate kasutada muudatuste tagasipööramise süsteeme, nagu ShadowUser ja selle analoogid. Pärast Honeypoti ehitamist peaksite arvestama, et paljud võrguussid otsivad nakatunud arvuteid, skannides IP-vahemikku, mis on arvutatud nakatunud arvuti IP-aadressist (levinud tüüpilised strateegiad on X.X.X.*, X.X.X+1.*, X.X.X-1.*), – seega peaks ideaalis igas alamvõrgus olema Honeypot. Täiendavate ettevalmistuselementidena tuleks Honeypoti süsteemis kindlasti avada ligipääs mitmele kaustale ning nendesse kaustadesse tuleks panna mitu erinevas formaadis näidisfaili, miinimumkomplekt on EXE, JPG, MP3.
Loomulikult peab administraator pärast Honeypoti loomist jälgima selle toimimist ja reageerima avastatud kõrvalekalletele see arvuti. Audiitoreid saab kasutada muudatuste registreerimiseks; nuusutaja saab salvestada võrgutegevust. Oluline punkt on see, et enamikul nuusutajatel on võimalus seadistada administraatorile hoiatuse saatmine, kui tuvastatakse määratud võrgutegevus. Näiteks CommView nuusutajas hõlmab reegel võrgupaketti kirjeldava "valemi" määramist või kvantitatiivsete kriteeriumide määramist (määratud arvust pakettide või baitide saatmine sekundis, pakettide saatmine tundmatutele IP- või MAC-aadressidele) - Joonis fig. 2.
Riis. 2. Looge ja konfigureerige võrgutegevuse hoiatus
Hoiatuseks on kõige mugavam kasutada aadressile saadetud meilisõnumeid postkasti administraator – sel juhul saate kõikidelt võrgus olevatelt lõksudelt viipeteateid. Lisaks, kui nuusutaja võimaldab teil luua mitu hoiatust, on mõistlik neid eristada võrgutegevus, tuues esile töö, millega meili teel, FTP/HTTP, TFTP, Telnet, MS Net, suurendas liiklust enam kui 20-30 paketi sekundis mis tahes protokolli puhul (joonis 3).
Riis. 3. Teavituskiri saadetud
kui tuvastatakse määratud kriteeriumidele vastavad paketid
Lõksu korraldades tasub sellele paigutada mitu võrgus kasutatavat haavatavat võrguteenust või paigaldada neile emulaator. Lihtsaim (ja tasuta) on patenteeritud APS-i utiliit, mis töötab ilma installimiseta. APS-i tööpõhimõte taandub paljude andmebaasis kirjeldatud TCP- ja UDP-portide kuulamisele ning ühenduse loomise hetkel ettemääratud või juhuslikult genereeritud vastuse väljastamisel (joonis 4).
Riis. 4. APS-i utiliidi peaaken
Joonisel on kujutatud ekraanipilt, mis on tehtud Smolenskenergo LAN-i reaalse APS-i aktiveerimise ajal. Nagu jooniselt näha, salvestati katse ühendada üks klientarvutitest pordis 21. Protokollide analüüs näitas, et katsed on perioodilised ja salvestatakse mitme võrgus oleva lõksuga, mis võimaldab järeldada, et võrku skannitakse, et otsida ja häkkida FTP-servereid paroolide äraarvamise teel. APS peab logisid ja saab saata administraatoritele sõnumeid jälgitavate portide registreeritud ühenduste aruannetega, mis on mugav võrguskaneeringute kiireks tuvastamiseks.
Honeypoti loomisel on kasulik tutvuda ka selleteemaliste veebiressurssidega, eelkõige http://www.honeynet.org/. Selle saidi jaotisest Tööriistad (http://www.honeynet.org/tools/index.html) leiate mitmeid tööriistu rünnakute salvestamiseks ja analüüsimiseks.
Pahavara kaug eemaldamine
Ideaalis saadab administraator pärast pahavara näidiste avastamist need viirusetõrje laborisse, kus analüütikud neid operatiivselt uurivad ning vastavad signatuurid viirusetõrje andmebaasi lisatakse. Need allkirjad läbi automaatne värskendus jõuda kasutaja arvutisse ja viirusetõrje toodab automaatne eemaldamine pahavara ilma administraatori sekkumiseta. Kuid see ahel ei tööta alati ootuspäraselt, võimalikud on järgmised ebaõnnestumise põhjused:
- mitmel võrguadministraatorist sõltumatul põhjusel ei pruugi pildid viirusetõrjelaborisse jõuda;
- viirusetõrje labori ebapiisav efektiivsus - ideaaljuhul ei kulu proovide uurimiseks ja andmebaasi sisestamiseks rohkem kui 1-2 tundi, mis tähendab, et uuendatud allkirjade andmebaasid saab kätte tööpäeva jooksul. Kuid mitte kõik viirusetõrjelaborid ei tööta nii kiiresti ja värskendusi võite oodata mitu päeva (harvadel juhtudel isegi nädalaid);
- viirusetõrje kõrge jõudlus - mitmed pahatahtlikud programmid hävitavad pärast aktiveerimist viirusetõrjeid või häirivad muul viisil nende tööd. Klassikalised näited – kaasamine hosts fail kirjed, mis blokeerivad viirusetõrje automaatse värskendamise süsteemi normaalset tööd, kustutavad protsesse, teenuseid ja viirusetõrje draivereid, kahjustavad nende seadeid jne.
Seetõttu peate ülaltoodud olukordades pahavaraga käsitsi tegelema. Enamasti pole see keeruline, kuna arvutikontrolli tulemused näitavad nii nakatunud arvutid kui ka pahavarafailide täisnimesid. Jääb vaid need eemalt eemaldada. Kui pahatahtlik programm pole kustutamise eest kaitstud, saab selle hävitada järgmise AVZ-skripti abil:
// Faili kustutamine
DeleteFile('failinimi');
ExecuteSysClean;
See skript eemaldab ühe antud fail(või mitu faili, kuna skriptis võib olla piiramatu arv DeleteFile käske) ja seejärel puhastab registri automaatselt. Keerulisemal juhul võib pahavara end kustutamise eest kaitsta (näiteks oma failid ja registrivõtmed uuesti luues) või maskeerida end rootkit-tehnoloogia abil. Sel juhul muutub skript keerulisemaks ja näeb välja järgmine:
// Anti-rootkit
SearchRootkit(tõene, tõsi);
// AVZGuardi juhtimine
SetAVZGuardStatus(tõene);
// Faili kustutamine
DeleteFile('failinimi');
// BootCleaneri logimise lubamine
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
// Importige BootCleaneri tegumisse skripti poolt kustutatud failide loend
BC_ImportDeletedList;
// Aktiveerige BootCleaner
// Heuristilise süsteemi puhastamine
ExecuteSysClean;
Windowsi taaskäivitamine (tõene);
See skript sisaldab aktiivset vastutegevust juurkomplektidele, AVZGuard süsteemi (see on pahavara tegevuse blokeerija) ja BootCleaneri süsteemi kasutamist. BootCleaner on draiver, mis eemaldab määratud objektid KernelMode'ist taaskäivitamise ajal, süsteemi alglaadimise varases staadiumis. Praktika näitab, et selline skript suudab hävitada valdava enamuse olemasolevast pahavarast. Erandiks on pahavara, mis muudab oma käivitatavate failide nimesid iga taaskäivitusega – sellisel juhul saab süsteemi kontrollimise käigus avastatud faile ümber nimetada. Sel juhul peate oma arvuti käsitsi desinfitseerima või looma oma pahavarasignatuurid (allkirjaotsingut rakendava skripti näidet kirjeldatakse AVZ abis).
Järeldus
Selles artiklis vaatlesime mõningaid praktilisi võtteid LAN-epideemiaga võitlemiseks käsitsi, ilma viirusetõrjetooteid kasutamata. Enamikku kirjeldatud tehnikaid saab kasutada ka välismaiste personaalarvutite ja troojalaste järjehoidjate otsimiseks kasutajate arvutites. Kui teil on raskusi pahavara leidmisega või raviskriptide loomisega, võib administraator kasutada foorumi http://virusinfo.info jaotist "Abi" või foorumi http://forum.kaspersky.com jaotist "Viiruste vastu võitlemine". /index.php?showforum= 18. Protokollide uurimine ja raviabi toimub mõlemas foorumis tasuta, arvutianalüüs toimub AVZ-protokollide järgi ja enamikul juhtudel taandub ravi nakatunud arvutites AVZ-skripti täitmisele, mille on koostanud nende foorumite kogenud spetsialistid. .
Väga täpne fraas: "haavamatuid süsteeme pole olemas." Ükski süsteem pole täiesti turvaline. Kui toide on sisse lülitatud ja arvuti on võrku ühendatud, siis olenemata ettevaatusabinõudest on süsteem haavatav ja võib muuta võrgus olevad teised arvutid haavatavaks. Alati on vaja eeldada varem tuvastamata nõrkade külgede ja ohtude olemasolu ning jätkata süsteemi turvalisuse tugevdamist.
Inimfaktor ja selle puudused
Kui ettevõtte töötajal on oma tegevuse iseloomu tõttu juurdepääs viimase arvutusressurssidele, siis on tal teavet, mis võib olla ründajatele väärtuslik. Vaatame näiteid infolekete kohta.
- Raskesti purustatavaid paroole on ka raske meeles pidada, seetõttu kirjutatakse need sageli paberile ( märkmik, äripäevik, kleebis monitoril jne).
- Tavalises vestluses võib inimene liiga palju välja pajatada.
- Sotsiotehnika ehk manipuleeriv käitumine on ründajate jaoks tõhus tehnika. Näiteks võib ründaja kehastuda ülemusena ja sundida kasutajat talle olulist teavet andma või vastupidi, kehastuda kasutajana ja paluda administraatoril talle telefoni teel parool öelda.
- Rahulolematud töötajad võivad kujutada endast tõsist ohtu. See on eriti ohtlik, kui selline töötaja on süsteemiadministraator või isik, kellel on juurdepääs oluline teave, mis on ärisaladus.
Parim kaitse nende haavatavuste ja ohtude vastu on personali koolitamine, nende teadlikkuse tõstmine ja karistuste kehtestamine süsteemireeglite rikkumise eest.
Süsteemi- ja võrguadministraatorid mängivad selles protsessis toetavat, kuid väga olulist rolli. Näiteks saab administraator jälgida kasutaja tegevust ning olles põhjalikult kursis süsteemi tööreeglitega, tuvastada volitamata tegevuse ja teavitada sellest turvateenistust.
Valvsusest ei piisa kunagi
Olge alati teadlik sellest, mis teie keskkonnas toimub. Kui ilmneb midagi ebatavalist, uurige, miks. Katke tuvastatud nõrkused ja proovige ohtude tõenäosust vähendada.
Regulaarse jälgimise peamine vahend on logifailid. Logifailide analüüsimine annab ülevaate juhtunust ja võib-olla ka vastutavast. Sageli aitab see tuvastada nõrkusi ja võimalikke ohte. Logifailidesse salvestatud teabe tõlgendamine on täiesti käsitsi tehtav protsess.
Vaba tarkvara võimalik oht
Selliste programmide eeliseks on nende lähtekoodide kättesaadavus. Isegi kui mõnel meist ei ole piisavalt teadmisi lähtekoodi kontrollimiseks või testkeskkonna loomiseks, saavad teised inimesed seda teha. Nad teatavad märgatud puudustest arendajatele ja avaldavad oma kommentaarid ka meililistides ( bugtraq).
Kontrollige alati allalaaditud programmide nõrku kohti, PGP-allkirju (C) ja MD5 kontrollsummasid (CS). Kui CS või C puudub, analüüsige lähtekoodi või käivitage programm turvalises keskkonnas ja vaadake, mis juhtub.
