Защита от сетевых атак. Компьютерные атаки

Которые вынуждены ждать создания физического файла на компьютере пользователя, сетевая защита начинает анализировать входящие потоки данных, поступающие на компьютер пользователя через сеть, и блокирует угрозы прежде, чем они попадают в систему.

Основными направлениями сетевой защиты, которые обеспечивают технологии Symantec, являются:

Загрузки методом drive-by, веб-атаки;
- Атаки типа «Социальной инженерии»: FakeAV (поддельные антивирусы) и кодеки;
- Атаки через социальные сети наподобие Facebook;
- Обнаружение вредоносных программ, руткитов и зараженных ботами систем;
- Защита от усложненных угроз;
- Угрозы Нулевого дня;
- Защита от неисправленных уязвимостей ПО;
- Защита от вредоносных доменов и IP-адресов.

Технологии Сетевой защиты

Уровень "Сетевая защиты" включает в себя 3 различные технологии.

Network Intrusion Prevention Solution (Network IPS)

Технология Network IPS понимает и сканирует более 200 различных протоколов. Он интеллектуально и точно «пробивается» сквозь двоичный и сетевой протокол, попутно ища признаки вредоносного трафика. Этот интеллект позволяет обеспечить более точное сетевое сканирование, при этом обеспечивая надежную защиту. В его «сердце» находится движок блокировки эксплойтов, который обеспечивает открытые уязвимости практически непробиваемой защитой. Уникальной особенностью Symantec IPS является то, что никакой настройки этот компонент не требует. Все его функции работают, как говорится, «из коробки». Каждый пользовательский продукт Norton , а также каждый продукт Symantec Endpoint Protection версии 12.1 и новее, обладают данной критичной технологией, включенной по умолчанию.

Защита Браузера

Этот защитный движок располагается внутри браузера. Он способен обнаруживать наиболее сложные угрозы, которые ни традиционный антивирус, ни Network IPS не способны определить. В наше время, многие сетевые атаки используют методы обфускации во избежание обнаружения. Поскольку Защита Браузера работает внутри браузера, она способна изучать пока еще не скрытый (обфускацированный) код, во время того, как он выполняется. Это позволяет обнаружить и заблокировать атаку, в случае, если она была пропущена на нижних уровнях защиты программы.

Un-Authorized Download Protection (UXP)

Находящаяся внутри слоя сетевой защиты, последняя линия обороны помогает прикрыть и «смягчить» последствия использования неизвестных и неисправленных уязвимостей, без использования сигнатур. Это обеспечивает дополнительный слой защиты от атак Нулевого дня.

Ориентируясь на проблемы

Работая вместе, технологии сетевой защиты решают следующие проблемы.

Загрузки методом Drive-by и наборы инструментов для веб-атак

Используя Network IPS, Защиту Браузера, и UXP-технологию, технологии сетевой защиты компании Symantec блокируют загрузки Drive-by и, фактически, не позволяют зловреду даже достичь системы пользователя. Практикуются различные превентивные методы, включающие использование этих самых технологий, включая технологию Generic Exploit Blocking и инструментарий обнаружения веб-атак. Общий веб-инструментарий обнаружения атак анализирует характеристики распространенной веб-атаки, не зависимо от того, какой именно уязвимости касается эта атака. Это позволяет обеспечить дополнительной защитой новые и неизвестные уязвимости. Самое лучшее в этом типе защиты - это то, что если вредоносный файл смог бы «тихо» заразить систему, он все равно был бы проактивно остановлен и удален из системы: ведь именно это поведение обычно пропускается традиционными антивирусными продуктами. Но Symantec продолжает блокировать десятки миллионов вариантов вредоносного ПО, которое обычно не может быть обнаружено другими способами.

Атаки типа «Социальной инженерии»

Поскольку технологии компании Symantec наблюдают за сетевым трафиком и трафиком браузера во время его передачи, они определяют атаки типа «Социальной инженерии», на подобии FakeAV или поддельных кодеков. Технологии предназначены блокировать подобные атаки до того, как они отобразятся на экране пользователя. Большинство других конкурирующих решений не включает в себя этот мощный потенциал.

Symantec блокирует сотни миллионов подобных атак при помощи технологии защиты от сетевых угроз.

Атаки, нацеленные на социальные медиа-приложения

Социальные медиа-приложения в последнее время стали широко востребованы, поскольку они позволяют мгновенно обмениваться различными сообщениями, интересными видео и информацией с тысячами друзей и пользователей. Широкое распространение и потенциал подобных программ, делают их объектом внимания №1 для хакеров. Некоторые распространенные трюки «взломщиков» включают в себя создание поддельных аккаунтов и рассылку спама.

Технология Symantec IPS способна защитить от подобных методов обмана, зачастую предотвращая их до того, как пользователь успеет кликнуть на них мышкой. Symantec останавливает мошеннические и поддельные URL, приложения и другие методы обмана с помощью технологии защиты от сетевых угроз.

Обнаружение вредоносного ПО, руткитов и зараженных ботами систем

Правда было бы неплохо знать, где именно в сети располагается зараженный компьютер? IPS-решения компании Symantec предоставляют эту возможность, также включая в себя обнаружение и восстановление тех угроз, возможно которым удалось обойти другие слои защиты. Решения компании Symantec обнаруживают вредоносов и ботов, которые пытаются совершить автодозвон или загрузить «обновления», чтобы увеличить свою активность в системе. Это позволяет IT-менеджерам, у которых есть четкий лист систем для проверки, получить гарантию того, что их предприятие находится в безопасности. Полиморфные и сложные скрытые угрозы, использующие методы руткитов наподобие Tidserv, ZeroAccess, Koobface и Zbot, могут быть остановлены и удалены при помощи этого метода.

Защита от «запутанных» угроз

Сегодняшние веб-атаки используют комплексные методы усложнения атак. Browser Protection компании Symantec «сидит» внутри браузера, и может обнаружить очень сложные угрозы, которые зачастую не способны увидеть традиционные методы.

Угрозы «Нулевого дня» и неисправленные уязвимости

Одним из прошлых, добавленных компанией защитных дополнений, является дополнительный слой защиты против угроз «Нулевого дня» и неисправленных уязвимостей. Используя безсигнатурную защиту, программа перехватывает вызовы System API и защищает от загрузок вредоносного ПО. Эта технология называется Un-Authorized Download Protection (UXP). Она является последним рубежом опоры внутри экосистемы защиты от сетевых угроз. Это позволяет продукту «прикрыть» неизвестные и непропатченные уязвимости без использования сигнатур. Эта технология включена по умолчанию, и она находится во всех продуктах, выпущенных с момента дебюта Norton 2010.

Защита от неисправленных уязвимостей в ПО

Вредоносные программы зачастую устанавливаются без ведома пользователя, используя уязвимости в ПО. Сетевая защита компании Symantec предоставляют дополнительный слой защиты, именуемый Generic Exploit Blocking (GEB). Независимо от того, установлены ли последние обновления или нет, GEB «в основном» защищает основные узявимости от эксплуатации. Уязвимости в Oracle Sun Java, Adobe Acrobat Reader, Adobe Flash, Internet Explorer, контролях ActiveX, или QuickTime сейчас повсеместно распространены. Generic Exploit Protection была создана методом «обратного инжиниринга», выяснив, каким образом уявимость могла быть использована в сети, предоставляя при этом специальный патч на сетевом уровне. Одна-единственная GEB или сигнатура уязвимости, способна предоставить защиту от тысяч вариантов зловредов, новых и неизвестных.

Вредоносные IP и блокировка доменов

Сетевая защита компании Symantec также включает в себя возможность блокировки вредоносных доменов и IP-адресов, при этом останавливая вредоносно ПО и трафик от известных вредоносных сайтов. Благодаря тщательному анализу и обновлению базы веб-сайтов отделом STAR, Symantec предоставляет защиту от постоянно меняющихся угроз в режиме реального времени.

Улучшенное сопротивление к Уклонению

Была добавлена поддержка дополнительных кодировок, чтобы улучшить эффективность детекта атак при помощи техник шифрования, таких как base64 и gzip.

Обнаружение сетевого аудита для применения политик использования и идентификации утечки данных

Сетевой IPS может быть использован для идентификации приложений и инструментов, которые могут нарушить корпоративную политику использования, или для предотвращения утечки данных через сеть. Является возможным обнаружить, предупредить или предотвратить трафик на подобии IM, P2P, социальных медиа, или другого «интересного» вида трафика.

STAR Intelligence Communication Protocol

Технология сетевой защиты сама по себе не работает. Движок обменивается данными с другими сервисами защиты при помощи протокола STAR Intelligence Communication (STAR ICB). Движок Network IPS соединяется с движком Symantec Sonar, а затем с движком Внутренней Репутации (Insight Reputation). Это позволяет предоставить более информативную и точную защиту.

В следующей статье мы рассмотрим уровень "Поведенческий анализатор".

По материалам Symantec

Нашли опечатку? Выделите и нажмите Ctrl + Enter

Каждую сетевую атаку можно в общем случае разбить на 5 этапов (таблица 3). В реальной ситуации некоторые шаги могут быть пропущены.

Таблица 3. Основные классы сетевых атак

Класс сетевой атаки	Описание класса
1. Исследование	Получение общей информации о компьютерной системе (КС)
1.1 Социотехника	Получение информации посредством вежливого втирания в доверие по телефону, электронной почте и т.п.
1.2 Непосредственное вторжение	Получение информации посредством физического доступа к оборудованию сети
1.3 Разгребание мусора	Получение информации из мусорных корзин или архивов
1.4 Поиск в WEB	Получение информации из интернета посредством общедоступных поисковых систем
1.5 Изучение WHOIS	Получение информации из регистрационных данных о владельцах доменных имён, IP-адресов и автономных систем
1.6 Изучение DNS зон	Получение информации посредством использования сервиса доменных имен
2. Сканирование	Получение информации об инфраструктуре и внутреннем устройстве КС
2.1 Поиск активных устройств	Получение информации об активных устройствах КС
2.2 Трассировка маршрутов	Определение топологии КС
2.3 Сканирование портов	Получение информации об активных сервисах, функционирующих в КС
3. Получение доступа	Получение привилегированных прав на управление узлами КС
3.1 Переполнение стека	Выполнение произвольного кода в результате вызванного злоумышленником сбоя в программном обеспечении
3.2 Атака на пароли	Подбор паролей из списка стандартных или по специально сгенерированному словарю, перехват паролей
3.3 Атаки на WEB - приложения	Получение доступа в результате эксплуатации уязвимостей в открытых WEB-приложениях КС
3.4 Сниффинг	Получение доступа посредством пассивного (прослушивание) и активного (подмена адресатов) перехвата трафика КС
3.5 Перехват сеанса связи
Эксплуатация полученных прав для достижения целей взлома
4.1 Поддержание доступа	Установка систем удаленного администрирования
4.2 DOS-атаки	Вывод из строя устройств и отдельных сервисов КС
4.3 Обработка конфиденциальной информации	Перехват, копирование и/или уничтожение информации
5. Заметание следов	Сокрытие факта проникновения в КС от систем защиты
5.1 Стирание системных логов	Удаление данных архивов приложений и сервисов КС
5.2 Сокрытие признаков присутствия в сети	Туннелирование внутри стандартных протоколов (HTTP, ICMP, заголовков TCP и т.п.)

Рассмотрим основные способы и средства защиты от перечисленных сетевых угроз .

Социотехника. Наилучший метод защиты от социотехники -- осведомленность пользователя. Необходимо сообщить всем сотрудникам о существовании социотехники и четко определить те виды информации, которые ни под каким предлогом нельзя разглашать по телефону. Если в организации предусмотрены варианты предоставления какой-либо информации по телефону (номеров телефонов, идентификационных данных и др.), то следует четко регламентировать данные процедуры, например, используя методы проверки подлинности звонящего.

Непосредственное вторжение:

ѕ контрольно-пропускной режим (системы контроля доступа, журнал посетителей, бейджи и др.);

ѕ физическая безопасность оборудования (механические, электронные замки);

ѕ блокировка компьютера, хранители экрана;

ѕ шифрование файловой системы.

Разгребание мусора. Хорошо известная всем бумагорезательная машина (шредер) -- самая лучшая защита против тех, кто роется в мусорных корзинах. У сотрудников должен быть беспрепятственный доступ к таким машинам, чтобы они могли уничтожить всю сколько-нибудь ценную информацию. Другой вариант: каждому пользователю предоставляется отдельная урна для бумаг, содержащих важные сведения, откуда каждую ночь документы поступают на бумагорезательную машину. Сотрудники должны быть четко информированы о том, как обращаться с конфиденциальной информацией.

Поиск в WEB. Основной способ защиты -- неразглашение информации. Нужно сделать необходимым и достаточным перечень информации, подлежащей размещению на публичных ресурсах в сети интернет. Избыточные данные о компании могут «помочь» злоумышленнику в реализации его намерений. Сотрудники должны нести ответственность за распространение конфиденциальной информации. Периодически следует проводить проверку публичной информации собственными силами или с привлечением сторонних компаний.

Изучение WHOIS. Не существует общих способов защиты от получения регистрационных данных злоумышленником. Существуют рекомендации, согласно которым информация в соответствующих базах должна быть как можно более точной и правдоподобной. Это позволяет администраторам различных компаний беспрепятственно связываться друг с другом и способствовать поиску злоумышленников.

Изучение DNS-зон. В первую очередь необходимо проверить, что на DNS-сервере нет утечки данных, которая возникает за счет наличия там лишних сведений. Такими сведениями могут быть имена, содержащие название операционных систем, записи типа HINFO или TXT. Во-вторых, необходимо корректно настроить DNS-сервер, чтобы ограничить передачу зоны. В-третьих, необходимо настроить граничный маршрутизатор таким образом, чтобы доступ к 53-му порту (TCP и UDP) имели только резервные серверы DNS, производящие синхронизацию с центральным сервером. Также следует использовать разделение внешнего и внутреннего DNS-серверов. Внутренний сервер настраивается таким образом, чтобы он мог разрешать имена только внутренней сети, а для разрешения имен внешней сети используются правила пересылки. То есть внешний DNS-сервер не должен ничего «знать» про внутреннюю сеть.

Поиск активных устройств и трассировка маршрутов. Способ защиты -- установка и настройка межсетевых экранов на фильтрацию пакетов таким образом, чтобы отсеивать запросы программ, используемых злоумышленником. Например, блокировка ICMP запросов от ненадежных источников сильно затруднит трассировку.

Сканирование портов. Первое и самое важное -- закрытие всех неиспользуемых портов. Например, если вы не используете TELNET, то необходимо закрыть соответствующий порт. При развертывании новой системы, необходимо заранее выяснить используемые ей порты и открывать их по мере необходимости. В особенно важных системах рекомендуется удалить программы, соответствующие ненужным сервисам. Лучшей считается такая настройка систем, в которой число установленных сервисов и инструментов минимально. Второе -- необходимо самостоятельно тестировать собственную систему на проникновение, тем самым предопределяя действия нарушителя. Для защиты от более совершенных сканеров рекомендуется применять пакетные фильтры с контролем состояния системы. Такие фильтры исследуют пакеты протоколов и пропускают только те из них, которые соответствуют установленным сессиям.

Общие рекомендации против сканирования -- своевременное применение пакетов безопасности, использование для сети и для хостов систем обнаружения вторжений (IDS), систем предотвращения вторжений (IPS), своевременное их обновление.

Переполнение стека. Способы защиты от данного типа атак можно разделить на две категории.

• 1. Методы, которые применяют системные администраторы и сотрудники службы безопасности при эксплуатации, настройке и сопровождении систем: своевременное применение патчей к системам, отслеживание обновлений установленных продуктов, сервис-паков для них, удаление лишних программ и сервисов, контроль и фильтрация входящего/исходящего трафика, настройка неисполняемого стека. Многие IDS способны обнаруживать атаки переполнения памяти по сигнатурам.
• 2. Методы, используемые разработчиками программного обеспечения в процессе создания программ: устранение ошибок программирования, путем проверки пространства доступной памяти, объема проходящей вводимой информации через приложение. Воздержание от использования проблемных функций с точки зрения безопасности; компиляция программ специальными средствами.

Вышеописанные методы помогают минимизировать количество атак на переполнение стековой памяти, но не гарантирует полную безопасность системы.

Атаки на пароли. Первое и самое главное -- «сильные» пароли. Это пароли длиной не менее 9-и знаков и содержащие специальные символы. Далее -- регулярная смена паролей. Чтобы это все корректно работало, рекомендуется выработать адаптированную под конкретную организацию политику паролей и довести ее содержание до всех пользователей. Не лишним будет предоставить сотрудникам конкретные рекомендации по созданию паролей. Второе -- рекомендуется использовать системы со встроенной проверкой на «слабость» паролей. Если такой проверки нет, то следует развернуть дополнительное программное обеспечение, выполняющее имеющее схожий функционал. Самый эффективный способ -- отказ от паролей и использование систем аутентификации (смарт-карты и др.). Рекомендуется регулярно производить тестовые «взломы» собственных паролей. Хорошей практикой является защита файлов с хешированными паролями, а также их теневых копий.

Атаки на WEB-приложения. Для того чтобы защититься от похищения учетных записей, необходимо выводить на экран одну и ту же ошибку при неправильном вводе логина или пароля. Это затруднит злоумышленнику перебор вашего ID или пароля. Лучшая защита от атак, отслеживающих соединение -- хеширование передаваемой информации о соединении, динамическая смена сеансового ID, завершение неактивного сеанса. Самые опасные атаки -- внедрение SQL-кода в приложение. Защита от них -- разработка WEB-приложений таким образом, чтобы они могли тщательно фильтровать указанные пользователем данные. Приложение не должно слепо доверять вводимой информации, поскольку в ней могут содержаться символы, с помощью которых модифицируются SQL-команды. Приложение должно удалять специальные символы, прежде чем обработать запрос пользователя.

Следует отметить, что на сегодняшний день активно развивается направление WAF (Web Application Firewall) -- файервол уровня приложений, предоставляющий комплексные методы защиты WEB-ресурсов. К сожалению, эти решения ввиду высокой стоимости доступны в основном только крупным компаниям.

Сниффинг. Первое -- шифрование данных, передаваемых по сети. Для этого используются протоколы -- HTTPS, SSH, PGP, IPSEC. Второе -- внимательное обращение с сертификатами безопасности, игнорирование сомнительных сертификатов. Использование современных коммутаторов, позволяющих настроить MAC-фильтрацию на портах, реализовать статическую ARP-таблицу. Использовать VLAN-ы.

IP-спуфинг. Данную угрозу можно минимизировать следующими мерами.

• 1. Контроль доступа. На границе сети устанавливаются пакетные фильтры, позволяющие отсеивать весь трафик внешней сети, где в пакетах исходным адресом указан один из адресов внутренней сети.
• 2. Фильтрация RFC2827. Она заключается в отсечении исходящего трафика внутренней сети, в котором исходным адресом не обозначен ни один из IP-адресов вашей организации.
• 3. Внедрение дополнительных видов аутентификации (двухфакторной) и криптографического шифрования делает такие атаки абсолютно неэффективными.

Перехват сеанса связи. Эффективно бороться с этим видом атак можно только с помощью криптографии. Это может быть SSL-протокол, VPN-сети и др. Для наиболее критичных систем целесообразно использовать шифрование и во внутренних сетях. Атакующий, перехвативший трафик зашифрованной сессии не сможет получить из него какой-либо ценной информации.

DOS-атаки. Для описания средств защиты от DOS-атак рассмотрим их классификацию. Эти атаки, как правило, разделяются на две категории: прекращение сервисов и истощение ресурсов (таблица 5). Прекращение сервисов -- сбой или отключение конкретного сервера, используемого в сети. Истощение ресурсов -- расходование компьютерных или сетевых ресурсов с целью помешать пользователям в получении атакуемого сервиса. Оба вида атак могут проводиться как локально, так и дистанционно (через сеть).

Защита против прекращения локальных сервисов: актуальные патчи безопасности локальных систем, регулярное исправление ошибок, разграничение прав доступа, применение программ проверки целостности файлов.

Защита против локального истощения ресурсов: применение принципа наименьшего количества привилегий при назначении прав доступа, увеличение системных ресурсов (память, скорость процессора, пропускная способность каналов связи и т.д.), применение IDS.

Защита против дистанционного прекращения сервисов: применение патчей, быстрое реагирование.

Лучшей защитой от дистанционного истощения ресурсов является быстрое реагирование на атаку. В этом могут помочь современные IDS-системы, сотрудничество с провайдером. Как и в предыдущих пунктах, следует своевременно обновлять и исправлять системы. Использовать функции анти-спуфинга. Ограничивать объем трафика со стороны провайдера. Для наиболее критичных систем необходимо иметь адекватную пропускную способность и избыточные линии связи.

Поддержание доступа. Вирусы и «троянские кони». Лучшая защита -- эффективное антивирусное программное обеспечение (ПО), работающее как на пользовательском уровне, так и на уровне сети. Для обеспечения высокого уровня безопасностей от этих угроз требуется регулярное обновление антивирусного ПО и сигнатур известных вирусов. Вторым шагом является получение актуальных обновлений операционных систем, настройка политик безопасности приложений в соответствии с актуальными рекомендациями их разработчиков. Необходимо обучить пользователей навыкам «безопасной» работы в Интернете и с электронной почтой. Защита от «ROOTKIT» обеспечивается политиками разграничения доступа, антивирусным программным обеспечением, применением обманок и системами обнаружения вторжений.

Заметание следов. После атаки злоумышленник, как правило, пытается избежать ее обнаружения администраторами безопасности. Для этих целей он производит изменение или удаление лог-файлов, хранивших историю действий нарушителя. Создание эффективной защиты, предотвращающей изменение лог-файлов злоумышленником, является важнейшим условием безопасности. Количество усилий, которые необходимо затратить на защиту регистрационной информации данной системы, зависит от ее ценности. Первым шагом для обеспечения целостности и полноценности лог-файлов является включение регистрации в особо важных системах. Чтоб избежать ситуации, когда в случае форс-мажора оказывается, что журналы отключены, необходимо создать политику безопасности, в которой бы регламентировались процедуры ведения журналов. Рекомендуется регулярно проводить проверки систем на соответствие данной политики. Другой необходимой мерой защиты лог-файлов является разграничение прав доступа на эти файлы. Эффективным приемом защиты регистрационной информации является установка выделенного сервера регистрации событий, обеспечив соответствующий уровень безопасности. Также хороши такие способы защиты как шифрование лог-файлов и разрешение на запись только в конец файла. Использование систем IDS. Защититься против туннелирования можно в двух местах: на конечном компьютере и в сети. На конечном компьютере защита обеспечивается правами доступа, антивирусным ПО, безопасной конфигурацией и установкой обновлений. На уровне сети туннелирование можно обнаружить системами обнаружения вторжений.

Выше были перечислены основные способы защиты от сетевых атак. На их основании строятся комплексные решения, которые могут совмещать в себе ряд функций по защите информации и использоваться в конкретном модуле сетевой инфраструктуры.

После установки Ubuntu в качестве основной ОС вы должны научиться устанавливать защиту от полезных нагрузок, передаваемых с помощью USB-уточек (Rubber Ducky), от изъятия ваших данных правоохранительными органами и в целом уменьшить количество мишеней, по которым можно нанести удар. При защите от сетевых атак вам необходимо минимизировать раскрытие информации о ваших аппаратных средствах, предотвратить работу снифферов пакетов, ужесточить правила брандмауэра и многое другое.

Продолжаем нашу мини-серию по усилению защиты операционной системы Ubuntu. В этой части вы научитесь подделывать MAC-адрес с целью запутывания пассивных хакеров, отключать неиспользуемые сетевые службы, такие как CUPS и Avahi, создавать правила брандмауэра для определенных портов с целью блокировки попыток несанкционированного доступа и изъятия ваших данных, защищаться от сниффинга паролей и cookie-файлов в ваших пакетах с помощью VPN.

Если вы пропустили предыдущую статью, то обязательно с ней ознакомьтесь, даже если у вас уже установлена Ubuntu и вы просто хотите усилить ее защиту. Вы узнаете, что побудило нас писать эту серию из четырех частей.

Шаг 1. Защититесь от определения вашего оборудования

При подключении к новым Wi-Fi сетям и маршрутизаторам подделывайте MAC-адрес вашего Wi-Fi адаптера. Конечно, это не помешает мотивированному хакеру узнать, какую операционную систему вы используете, но может его запутать и не дать ему собрать информацию о вашем оборудовании.

Например, хакер, подключенный к Wi-Fi сети в кафе, может сосредоточить свои усилия на взломе любых устройств, кроме Apple. Если же вы появляетесь в сети с , то злоумышленник полностью проигнорирует ваше устройство. Или же он может попробовать на вашем устройстве некоторые атаки, специфичные для MacOS, которые не сработают, потому что вы на самом деле не используете MacBook, вы только отображаетесь в сети так, как будто используете технику Apple. В сочетании с поддельным User-Agent браузера это сможет действительно запутать не очень умного противника.

Чтобы изменить MAC-адрес в Ubuntu, откройте Network Manager и перейдите в меню «Edit» вашего Wi-Fi-соединения. На вкладке «Identity» введите в поле «Cloned Address» MAC-адрес, который вы хотите использовать.

Шаг 2. Защититесь от атак на «слушающие» сервисы

Когда фоновый процесс (или сервис) находится в состоянии « » (прослушивания) , то это означает, что другие службы (сервисы) и приложения на вашем устройстве и в сети могут с ним взаимодействовать. Эти «слушающие» службы всегда ожидают на вход какие-нибудь данные, получив которые, сервис должен дать определенный ответ. Любая служба с локальным адресом 0.0.0.0, находясь в состоянии прослушивания, скорее всего, будет доступна для всех пользователей в данной локальной сети и, возможно, в Интернете тоже.

У свежеустановленной Ubuntu будет всего несколько запущенных сервисов, поэтому по умолчанию не нужно беспокоиться о страшном прослушивании портов. Но всегда помните о приложениях, которые вы еще установите в будущем. Они могут открыть порты для прослушивания, не сообщая вам об этом.

Чтобы отслеживать то, какие фоновые процессы находятся в состоянии прослушивания, мы будем использовать netstat - инструмент, используемый для вывода информации о сетевых подключениях, открытых портах и запущенных сервисах. Поскольку мы использовали минимальную установку Ubuntu, то необходимый нам набор утилит net-tools для работы с сетями (включая netstat) придется установить вручную. Это можно сделать с помощью команды sudo apt-get install net-tools.

Sudo apt-get install net-tools Reading package lists... Done Building dependency tree Reading state information... Done The following NEW packages will be installed: net-tools 0 upgraded, 1 newly installed, 0 to remove and 0 not upgraded. Need to get 194 kB of archives. After this operation, 803 kB of additional disk space will be used. Selecting previously unselected package net-tools. (Reading database ... 149085 files and directories currently installed.) Preparing to unpack .../net-tools_1.60+git20161116.90da8a0-1ubuntu1_amd64.deb ... Unpacking net-tools (1.60+git20161116.90da8a0-1ubuntu1) ... Processing triggers for man-db (2.8.3-2) ... Setting up net-tools (1.60+git20161116.90da8a0-1ubuntu1) ...

Используйте следующую команду netstat для просмотра служб в состоянии «LISTEN».

Sudo netstat -ntpul Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 127.0.0.53:53 0.0.0.0:* LISTEN 651/systemd-resolve tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 806/cupsd tcp6 0 0::1:631:::* LISTEN 806/cupsd udp 47616 0 127.0.0.53:53 0.0.0.0:* 651/systemd-resolve udp 0 0 0.0.0.0:631 0.0.0.0:* 812/cups-browsed udp 2304 0 0.0.0.0:5353 0.0.0.0:* 750/avahi-daemon: r udp 0 0 0.0.0.0:38284 0.0.0.0:* 750/avahi-daemon: r udp6 0 0:::37278:::* 750/avahi-daemon: r udp6 25344 0:::5353:::* 750/avahi-daemon: r

Systemd-resolve используется для разрешения доменных имен и, понятное дело, его не стоит ни изменять, ни удалять. Про «cupsd» и «avahi-daemon» мы поговорим ниже в следующих разделах.

Отключите или удалите CUPS

В 2011 году в avahi-daemon была обнаружена уязвимость, - DDoS. Хотя этот CVE довольно старый и у него весьма незначительная степень серьезности, но, тем не менее, он демонстрирует, каким образом хакер в локальной сети обнаруживает уязвимости в сетевых протоколах и манипулирует запущенными службами на устройстве жертвы.

Если вы не планируете взаимодействовать с продуктами или сервисами Apple на других устройствах, avahi-daemon можно отключить, используя следующую команду sudo systemctl disa avahi-daemon.

Sudo systemctl disable avahi-daemon Synchronizing state of avahi-daemon.service with SysV service script with /lib/systemd/systemd-sysv-install. Executing: /lib/systemd/systemd-sysv-install disable avahi-daemon Removed /etc/systemd/system/dbus-org.freedesktop.Avahi.service. Removed /etc/systemd/system/sockets.target.wants/avahi-daemon.socket.

Avahi также можно полностью удалить с помощью sudo apt-get purge avahi-daemon.

Sudo apt-get purge avahi-daemon Reading package lists... Done Building dependency tree Reading state information... Done The following packages will be REMOVED: avahi-daemon* (0.7-3.1ubuntu1) avahi-utils* (0.7-3.1ubuntu1) libnss-mdns* (0.10-8ubuntu1) 0 upgraded, 0 newly installed, 3 to remove and 0 not upgraded. After this operation, 541 kB disk space will be freed. Do you want to continue? y

Шаг 3. Защитите ваши порты

Хакер-любитель может попытаться извлечь данные через или создать обратный шелл на (прямо указанный в Википедии в качестве дефолтного порта для Metasploit). Брандмауэр, который разрешает только исходящие пакеты на нескольких портах, будет блокировать любые входящие пакеты.

Для управления доступностью портов мы будем использовать - программу, которая представляет собой простой интерфейс для настройки брандмауэров. UFW буквально означает Uncomplicated FireWall. Он действует как фронтенд для (пакетный фильтр) и не предназначен для обеспечения полной функциональности брандмауэра, а вместо этого является удобным средством добавления или удаления правил брандмауэра.

1. Запретите все входящие и исходящие соединения

Чтобы включить UFW, используйте команду sudo ufw enable.

Sudo ufw enable Firewall is active and enabled on system startup

Отключите все входящие соединения с помощью этой команды:

Sudo ufw default deny incoming

Затем запретите все переадресации:

Sudo ufw default deny forward

И запретите все исходящие соединения:

Sudo ufw default deny outgoing

С этого момента доступ к Интернету с помощью Firefox или любого другого приложения у вас будет закрыт.

2. Найдите ваш Wi-Fi интерфейс

Чтобы разрешить исходящие подключения, сначала нужно найти имя Wi-Fi-адаптера, используя команду ifconfig -a.

Ifconfig -a enp0s8: flags=4163 mtu 1500 inet 192.168.1.44 netmask 255.255.255.0 broadcast 192.168.1.255 ether e8:e1:e8:c2:bc:b9 txqueuelen 1000 (Ethernet) RX packets 631 bytes 478024 (478.0 KB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 594 bytes 60517 (60.5 KB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 device interrupt 16 base 0xd040 lo: flags=73 mtu 65536 inet 127.0.0.1 netmask 255.0.0.0 inet6::1 prefixlen 128 scopeid 0x10 loop txqueuelen 1000 (Local Loopback) RX packets 259 bytes 17210 (17.2 KB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 259 bytes 17210 (17.2 KB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

Для целей этой статьи мы используем Ubuntu в VirtualBox, поэтому имя нашего интерфейса «enp0s8». Команда ifconfig может отображать ваш беспроводной интерфейс как «wlp3s0», «wlp42s0» или что-то в этом роде.

3. Создайте исключения брандмауэра и настройте защищенное разрешение DNS

Разрешить DNS, HTTP и HTTPS трафик на беспроводном интерфейсе можно с помощью этих трех команд.

Sudo ufw allow out on to 1.1.1.1 proto udp port 53 comment "allow DNS on " sudo ufw allow out on to any proto tcp port 80 comment "allow HTTP on " sudo ufw allow out on to any proto tcp port 443 comment "allow HTTPS on "

Адрес «1.1.1.1» в команде DNS - это новый DNS-резолвер . Многие интернет-пользователи не понимают, что даже если они просматривают веб-сайт с использованием зашифрованного соединения (небольшой зеленый замочек в строке URL), Интернет-провайдеры все равно могут видеть имя каждого домена, посещаемого с помощью DNS-запросов. Использование DNS-резолвера CloudFlare поможет предотвратить попытки Интернет-провайдеров (ISP) отслеживать ваш трафик.

4. Обновите конфигурацию DNS в Network Manger’е

После установки правил UFW в Network Manager перейдите в меню «Edit» вашего Wi-Fi-соединения и измените поле DNS на 1.1.1.1. Отключитесь и снова подключитесь к Wi-Fi сети, чтобы изменения DNS вступили в силу.

Просмотрите вновь созданные правила с помощью команды sudo ufw status numbered.

Sudo ufw status numbered Status: active To Action From -- ------ ---- [ 1] 1.1.1.1 53/udp ALLOW OUT Anywhere on enp0s8 (out) # allow DNS on enp0s8 [ 2] 443/tcp ALLOW OUT Anywhere on enp0s8 (out) # allow HTTPS on enp0s8 [ 3] 80/tcp ALLOW OUT Anywhere on enp0s8 (out) # allow HTTP on enp0s8

Ubuntu сможет делать стандартные HTTP/HTTPS запросы на портах 80 и 443 на указанном вами беспроводном интерфейсе. Если эти правила слишком строгие для вашей повседневной активности, то можно разрешить все исходящие пакеты с помощью этой команды:

Sudo ufw default allow outgoing

5. Мониторьте брандмауэр

Если вы пытаетесь отладить входящие или исходящие соединения, то для этого можно использовать команду tail с аргументом -f, чтобы следить за сообщениями и расхождениями в логах UFW в реальном времени. Полностью эта команда будет выглядеть так:

Tail -f /var/log/ufw.log kernel: [ 3900.250931] IN= OUT=enp0s8 SRC=192.168.1.44 DST=104.193.19.59 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=47090 DF PROTO=TCP SPT=35944 DPT=9999 WINDOW=29200 RES=0x00 SYN URGP=0 kernel: [ 3901.280089] IN= OUT=enp0s8 SRC=192.168.1.44 DST=104.193.19.59 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=47091 DF PROTO=TCP SPT=35944 DPT=9999 WINDOW=29200 RES=0x00 SYN URGP=0

В приведенных выше логах UFW блокирует исходящие соединения (OUT=) с нашего локального IP-адреса (192.168.1.44) на сервер Null Byte (104.193.19.59), используя TCP с портом назначения (DPT) 9999. Это можно резолвить с помощью этой команды UFW:

Sudo ufw allow out on from 192.168.1.44 to 104.193.19.59 proto tcp port 9999

Для получения дополнительной информации по UFW можно почитать маны (страницы руководства) - man ufw.

Читатели, интересующиеся очень тонкой настройкой брандмауэра, обязательно должны .

Шаг 4. Защититесь от пакетного сниффинга и перехвата файлов cookie

Атаки, направленные на манипуляции пакетами, можно предотвратить с помощью виртуальной частной сети (VPN). VPN предлагает набор технологий, которые:

• Препятствуют хакерам в сетях Wi-Fi манипулировать пакетами и отслеживать вашу активность.
• Запрещают Интернет-провайдерам следить за вашей активностью и продавать ваши данные на сторону.
• Помогают обходить блокировки цензурных органов (вроде РКН), когда Интернет-провайдеры или сетевые брандмауэры блокируют доступ к определенным веб-сайтам.

Ценник большинства платных VPN-сервисов начинается с $5 в месяц. Вот некоторые заслуживающие внимания VPN-провайдеры: ProtonVPN, Mullvad, VyprVPN и .

Следующий шаг - усиление защиты приложений и создание «песочниц»

Вот и все, что касается установления защиты вашего присутствия и деятельности в Интернете. В следующей статье мы поговорим о приложениях для создания песочниц и обеспечения безопасности вашей системы в случае, если на устройстве будет запущена какая-нибудь вредоносная программа. После этого мы погрузимся в аудит с помощью антивирусного ПО и мониторинг системных логов.

Отказ от ответственности : Эта статья написана только для образовательных целей. Автор или издатель не публиковали эту статью для вредоносных целей. Если читатели хотели бы воспользоваться информацией для личной выгоды, то автор и издатель не несут ответственность за любой причиненный вред или ущерб.

¾ программы на внешних носителях памяти

¾ оперативную память

¾ системные области компьютера

¾ аппаратную часть компьютера

37. Основным средством антивирусной защиты является…

¾ периодическая проверка списка автоматически загружаемых программ

¾ использование сетевых экранов при работе в сети Интернет

¾ периодические проверки компьютера с помощью антивирусного программного обеспечения

¾ периодическая проверка списка загруженных программ

38. Электронно-цифровая подпись позволяет…

¾ пересылать сообщения по секретному каналу

¾ восстанавливать поврежденные сообщения

¾ удостовериться в истинности отправителя и целостности сообщения

¾ зашифровать сообщение для сохранения его секретности

39. Абсолютная защита компьютера от сетевых атак возможна при…

¾ использовании новейших антивирусных средств

¾ использовании лицензированного программного обеспечения

¾ установке межсетевого экрана

¾ отсутствии соединения

40. Наиболее опасной с точки зрения вирусной активности частью электронного письма является…

¾ вложение

¾ заголовок

41. Преднамеренной угрозой безопасности информации является…

¾ повреждение кабеля, по которому идет передача, в связи с погодными условиями

¾ ошибка администратора

¾ наводнение

42. Протоколирование действий пользователей позволяет…

¾ реконструировать ход событий при реализации угрозы безопасности информации

¾ обеспечивать конфиденциальность информации

¾ решать вопросы управления доступом

43. Антивирусным пакетом НЕ является...

¾ Антивирус Касперского

¾ Symantec AntiVirus

¾ Norton AntiVirus

¾ Microsoft AntiVirus

44. Сетевые черви это – …

¾ программы, которые изменяют файлы на дисках, и распространяются в пределах компьютера

¾ программы, которые не изменяют файлы на дисках, а распространяются в компьютерной сети, проникают в операционную систему компьютера, находят адреса других компьютеров или пользователей и рассылают по этим адресам свои копии

¾ программы, распространяющиеся только при помощи электронной почты через Интернет

¾ вредоносные программы, действия которых заключается в создании сбоев при питании компьютера от эл. сети

45. К средствам обеспечения компьютерной безопасности НЕ относятся…

¾ программа AntiViral Toolking Pro (AVP)

¾ специальные системы, основанные на криптографии

¾ электронные таблицы

¾ программы WinZip и WinRar

46. Компьютерные вирусы – это…

¾ вредоносные программы, которые возникают в связи со сбоями в аппаратных средствах компьютера

¾ программы, которые пишутся хакерами специально для нанесения ущерба пользователю

¾ программы, являющиеся следствием ошибок в операционной системе

¾ вирусы, сходные по природе с биологическими вирусами

47. Отличительными особенностями компьютерного вируса являются

¾ значительный объем программного кода

¾ способность к самостоятельному запуску и многократному копированию кода

¾ способность к созданию помех корректной работе компьютера

¾ легкость распознавания

48. Методы обеспечения компьютерной безопасности на (указать неправильный ответ)

¾ правовые

¾ организационно-технические

¾ политические

¾ экономические

49. К негативным последствиям развития современных информационных технологий можно отнести…

¾ формирование единого информационного пространства

¾ работа с информацией становится главным содержанием профессиональной деятельности

¾ широкое использование информационных технологий во всех сферах человеческой деятельности

¾ доступность личной информации для общества, вторжение информационных технологий в частную жизнь людей

50. Обеспечение защиты информации проводится конструкторами и разработчиками программного обеспечения в следующих направлениях (указать неправильный ответ)

¾ защита от сбоев работы оборудования

¾ защита от случайной потери информации

¾ защита от преднамеренного искажения информации

¾ разработка правовой базы для борьбы с преступлениями в сфере информационных технологий

¾ защита от несанкционированного доступа к информации

51. Развитый рынок информационных продуктов и услуг, изменение в структуре экономики, массовое использование информационных и коммуникационных технологий являются признаками:

¾ информационной культуры

¾ высшей степени развития цивилизации

¾ информационного кризиса

¾ информационного общества

¾ информационной зависимости

52. Что не относится к объектам информационной безопасности Российской Федерации?

¾ природные и энергетические ресурсы

¾ информационные ресурсы всех видов

¾ информационные системы различного класса и назначения, информационные технологии

¾ система формирования общественного сознания

¾ права граждан, юридических лиц и государства на получение, распространение, использование и защиту информации и интеллектуальной собственности

53. Для написания самостоятельной работы вы скопировали из Интернета полный текст нормативно-правового акта. Нарушили ли вы при этом авторское право?

¾ нет, так как нормативно-правовые акты не являются объектом авторского права

¾ нет, если есть разрешение владельца сайта

54. Можно ли использовать статьи из разных журналов и газет на политические, экономические, религиозные или социальные темы для подготовки с их использованием учебного материала?

¾ да, получив согласие правообладателей

¾ да, указав источники заимствования

¾ да, не спрашивая согласия правообладателей, но с обязательным указанием источника заимствования и имен авторов

55. Считается ли статья, обнародованная в Интернете объектом авторского права?

¾ нет, если статья впервые обнародована в сети Интернет

¾ да, при условии, что эта же статья в течение 1 года будет опубликована в печати

¾ да, так как любая статья является объектом авторского права как произведение науки или литературы

56. В каких случаях при обмене своими компьютерными играми с другими людьми, не будут нарушаться авторские права?

¾ если экземпляры этих компьютерных игр были выпущены в свет и введены в гражданский оборот с согласия автора

¾ если обладатели обмениваемых экземпляров компьютерных игр приобрели их по договору купли-продажи/мены

¾ если одновременно соблюдены условия, указанные в предыдущих пунктах

¾ если они распространяются путем сдачи в прокат

57. Основные действия (фазы), выполняемые компьютерным вирусом:

¾ заражение

¾ блокирование программ

¾ проявление

¾ размножение

¾ маскировка

58. К антивирусным программам не относятся:

¾ интерпретаторы

¾ ревизоры

¾ сторожа

¾ вакцины

59. Назначение антивирусных программ детекторов:

¾ обнаружение и уничтожение вирусов

¾ обнаружение вирусов

¾ лечение зараженных файлов

¾ уничтожение зараженных файлов

¾ лечение зараженных файлов

¾ контроль путей распространения вирусов

60. К недостаткам антивирусных средств относят:

¾ невозможность лечения «подозрительных» объектов

¾ разнообразие настроек

¾ автоматическую проверку всех открываемых файлов

¾ необходимость постоянного обновления вирусных баз

61. Антивирусным пакетом является:

¾ Антивирус Касперского

¾ Symantec AntiVirus

¾ Norton AntiVirus

¾ Microsoft AntiVirus

62. В необходимый минимум средств защиты от вирусов входит:

¾ аттестация помещения

¾ выходной контроль

¾ входной контроль

¾ архивирование

¾ профилактика

63. Криптографическое преобразование информации это:

¾ введение системы паролей

¾ шифрование данных

¾ ограничение доступа к информации

¾ резервное копирование информации

64. Наиболее эффективное средство для защиты от сетевых атак:

¾ использование сетевых экранов, или FireWall

¾ посещение только надежных узлов Интернет

¾ использование антивирусных программ

¾ использование только сертифицированных броузеров при доступе к Интернет

65. FireWall – это:

¾ почтовая программа

¾ то же, что и Интернет браузер

¾ то же, что и брэндмауэр

¾ графический редактор

66. Протоколирование действий пользователя позволяет:

¾ обеспечивать конфиденциальность

¾ управлять доступом к информации

¾ реконструировать события при реализации угрозы безопасности информации

¾ восстанавливать утерянную информацию

67. Сетевой аудит включает:

¾ антивирусную проверку сети

¾ выборочный аудит пользователей

¾ аудит безопасности каждой новой системы при ее инсталляции в сеть

¾ протоколирование действий всех пользователей в сети

68. Secure Sockets Layer:

¾ не использует шифрование данных

¾ обеспечивает безопасную передачу данных

¾ не может использовать шифрование с открытым ключом

¾ это не протокол, программа

69. Наиболее эффективным средством для защиты от сетевых атак является...

¾ Использование сетевых экранов, или Firewall;

¾ Посещение только «надёжных» Интернет-узлов;

¾ Использование антивирусных программ;

¾ Использование только сертифицированных программ-браузеров при доступе к сети Интернет.

70. Сжатый образ исходного текста обычно используется...

¾ В качестве ключа для шифрования текста;

¾ Для создания электронно-цифровой подписи;

¾ Как открытый ключ в симметричных алгоритмах;

¾ Как результат шифрования текста для его отправки по незащищенному каналу.

71. Из перечисленного: 1) пароли доступа, 2) дескрипторы, 3) шифрование, 4) хеширование, 5) установление прав доступа, 6) запрет печати,

к средствам компьютерной защиты информации относятся:

72. Заражение компьютерным вирусом не может произойти

¾ При открытии файла, прикрепленного к почте;

¾ При включении и выключении компьютера;

¾ При копировании файлов;

¾ При запуске на выполнение программного файла.

73. Электронная цифровая подпись документа позволяет решить вопрос о ______________ документа(у)

¾ Режиме доступа к

¾ Ценности

¾ Подлинности

¾ Секретности

74. Результатом реализации угроз информационной безопасности может быть

¾ Уничтожение устройств ввода/вывода

¾ Изменение конфигурации периферийных устройств

¾ Уничтожение каналов связи

¾ Внедрение дезинформации

75. Электронная цифровая подпись устанавливает_____информации

¾ Непротиворечивость

¾ Подлинность

¾ Противоречивость

76. Программными средствами для защиты информации в компьютерной сети являются:
1) Firewall, 2) Brandmauer, 3) Sniffer, 4) Backup.

77. Для безопасного использования ресурсов в сети Интернет предназначен протокол…

Задание. Установить и настроить межсетевой экран.

Нижеприведенный текст взят с одного из сайтов с сохранением стиля автора.

Изначально межсетевой экран (файервол) служил для ограничения доступа к локальным сетям извне. Сейчас популярны комплексные решения. Если речь идет о "профессиональном" применении, то это отдельное устройство, умеющее не только фильтровать пакеты, но и обнаружить попытку сетевой атаки. Нам, простым пользователям, достаточно иметь программный файервол. Даже "простенький" файервол не ограничивается контролем интернет-трафика, он предупреждает о любой подозрительной активности приложений, спрашивая пользователя о том, что разрешать делать приложению, а что - нет. Это является и "недостатком". Первое время придется отвечать на вопросы, причем отвечать правильно. Я видел ситуации, когда пользователь ошибочно заблокировал доступ в интернет своему интернет-браузеру. В итоге - соединение с провайдером устанавливается, но, ни один сайт не открывается.

К файерволам мы вернемся очень скоро, ведь настала пора перейти к чисто сетевой безопасности.

Прежде, чем освещать сетевые атаки, неплохо ознакомиться с принципами функционирования сетей. Эти знания могут оказаться полезными и для устранения неполадок своими силами. Тех, кто желает всерьез изучить проблему, отсылаю к серьезным материалам. Простому человеку не обязательно читать всякие RTFSы. Моя цель - помочь пользователю обоснованно выбрать уровень защиты. Здесь приходится руководствоваться необходимой достаточностью, а определение этой "достаточности" - индивидуально.

Если вы - пользователь Интернет, ваш компьютер постоянно отправляет и получает данные. Отправляются запросы на получение информации, сама информация (например, почта). Получаются служебные ответы (готовность сервера, данные о размере скачиваемого файла и т.д.), и сами данные.

Представим себе работу двух штабов дружественных армий во время совместных учений. Российский генерал просит китайского поддержать наступление огнем с моря. Как происходит обмен информацией? Составляется письмо, передается шифровальщику, уже зашифрованное - радисту. Последний отстукивает письмо в эфир азбукой Морзе. Китайский радист получает "морзянку", шифровальщик расшифровывает, с удивлением обнаруживает, что послание на русском языке и отдает его переводчикам. Только теперь можно считать, что письмо дошло до адресата. Заметим, что нашим генералам по рангу не положено задумываться об азбуке Морзе, методах шифрования и радиопередатчиках. Также, как пользователь не обязан ничего знать о семи сетевых уровнях взаимодействия. Самым интересным для нас является IP - протокол интернета. Этот протокол должен понимать любой компьютер в сети Интернет, как все радисты способны пользоваться "морзянкой". Известно, что, при организации связи часто используются кабельные линии. Если на пути встречается преграда, например - река, то в место разрыва по берегам устанавливают два приемо-передатчика (ретрансляторы, это выгоднее, чем тянуть по дну кабель), далее могут использоваться и спутниковые каналы, и снова кабельная линия. Два "радиста" используют морзянку и могут ничего не знать о методах передачи сигнала по кабельным или радиоканалам с их аппаратурой уплотнения. Сети передачи данных, на которых базируется интернет, столь же сложны, но оконечные устройства, например Ваш компьютер, понимает IP, независимо от установленной операционной системы.

В соответствии с концепцией IP, данные преобразуются в отдельные "пакеты", которые могут (но не обязаны) нести в себе помимо куска данных и информации о пункте отправки и назначения, сведения о том, кусок чего именно содержится в пакете, как его стыковать с остальными частями. Понятно, что не существует идеальных каналов для передачи данных, а значит часть пакетов будет содержать ошибки, пакеты достигают цели в "неправильной" последовательности или вообще не достигают. Иногда это не критично. Поскольку теряется лишь небольшая часть пакетов, передачу можно повторить несколько раз (разумный подход, если сообщение небольшое). Сетевик увидит здесь дейтаграммный протокол (UDP), который базируется на протоколе IP и не гарантирует доставку сообщений. Протоколы TCP/IP располагают средствами для надежной доставки за счет установления виртуального соединения. В процессе такого соединения общаются уже две пользовательские программы. "Принимающая" сторона уведомляется о количестве отправленных пакетов и способе их стыковки, и, если какой-то пакет не дошел, просит повторить отправку. Здесь уже можно сделать два практических вывода. Первый: если сигнал сильно искажается или много помех, то значительная часть пакетов проходят с ошибками, что приводит к множеству повторных отправок, то есть, снижается реальная скорость передачи данных. Отсюда и возникает понятие ширины (пропускной способности) канала. Второй вывод: если отправит все заявленные пакеты кроме одного, принимающая сторона не закроет виртуального соединения, ожидая опаздывающего. Если насоздавать множество таких соединений, принимающему компьютеру будет тяжко, поскольку под каждое соединение резервируется участок памяти, а память не резиновая. По такому принципу строили сетевые атаки, "подвешивая" компьютер жертвы.

Чтобы понять процесс установления соединения, необходимо рассмотреть систему идентификации компьютеров в сети. Если мы говорим об интернет, то у каждого компьютера есть уникальное имя, называемое IP - адресом. выглядит он может примерно так: 213.180.204.11 Трудновато для запоминания, поэтому придумали доменные имена, состоящие из "нормальных" символов, например www.yandex.ru. Если в командной строке Вашего интернет-браузера набрать http://213.180.204.11, то это будет равноценно http://www.yandex.ru. Каждое доменное имя соответствует определенному IP - адресу. Как я узнал IP знаменитой поисковой системы? Можно использовать специальную программку, а можно выполнить команду "ping". Если у Вас Windows, нажмите кнопку "Пуск", кликните на пункте "выполнить". Нам предлагают выполнить на компьютере какую-нибудь команду, скомандуем cmd (введем cmd в поле "открыть"), откроется окно командного интерпретатора. Теперь мы можем видеть вводимые команды и результат их выполнения. Итак, командуем ping yandex.ru, жмем "Enter" и получаем результат. Результат будет положительным, если ваш компьютер подключен к Интернет. В этом случае Вам покажут время прохождения пробных пакетов до сервера yandex, а заодно ip - адрес. В роле "переводчика" выступает DNS - сервер, специальный компьютер, хранящий таблицы соответствия доменных имен ip-адресам, причем таких компьютером может быть много. Интернет изначально задумывался как отказоустойчивая сеть (для военных в США), а надежность должно было обеспечить отсутствие единого центра. Группа пакетов, отправленная в рамках одного соединения, может идти разными путями (на то она и всемирная паутина), управляется этот процесс маршрутизаторами, хранящими различные пути до различных подсетей. Теперь понятно, почему очередность поступления пакетов адресату может отличаться от исходной. Также понятно, что, если злодей подменит запись в таблице адресов, то вместо нужного сайта клиент может угодить на сайт-двойник, где введет свои пароли и другие данные. Утешает то, что подмена таблиц публичных DNS является весьма трудным делом. Но, следует помнить, что браузер первым делом просматривает локальную таблицу, хранящуюся в специальном файле на Вашем компьютере. Если вирусу удастся внести туда свою запись, то введя www.yandex.ru, Вы запросто можете попасть на совершенно другой сайт, быть может, внешне похожий. Если ваш файервол сообщает, что какая-то программа пытается изменить файл с таблицей адресов, стоит обследовать компьютер на предмет опасной заразы.

Для установления соединения мало знать адрес компьютера. Непременными атрибутами запроса на подключение являются протокол (язык, на котором решено общаться) и номер порта, к которому мы подключаемся. Протокол мы каждый раз указываем в адресной строке браузера (тот самый http, хотя можно набрать ftp и связаться с ftp-сервером, если он есть на сервере). Номер порта обычно явно не указывается, в этом случае для http подразумевается порт 80, на котором "висит" интернет-сервер (не в смысле "мощный компьютер", а в смысле "программа, обслуживающая клиентские приложения". На компьютере может быть запущено множество сервисов (тот же ftp), каждый слушает "свой" порт. Если интернет-браузеры обеспечивают в основном подключение по http и просмотр web-страниц, то для подключения к другим сервисам существуют специальные программы, как стандартные, так и "хакерские" Если установлена программа ICQ, то она открывает свой порт и "слушает" его на предмет желающих подключиться и пообщаться. Чем больше на машине запущено сетевых сервисов, тем больше вероятность, что среди них найдется уязвимый, ведь каждый открытый порт - дверь систему, а надежен ли замок - тот еще вопрос. Существует целый класс программ - сканеры портов, которые опрашивают заданный диапазон портов, перебирая номера и выдают список открытых. Забегая вперед, скажу, что есть "сканеры безопасности", которые не только сканируют порты, но и исследуют в автоматическом режиме целевой хост на наличие всех известных уязвимостей.

Итак, сетевые атаки. Банки и без моей помощи разберутся с хакерами, мне ближе проблемы простого пользователя. Об этом и поговорим.

Удаленный взлом компьютера становится не таким простым делом. Если интересно, кто и как занимался этим лет пять назад, вот ссылка на приговор горе-хакерам, в котором описана вся технология взлома (в начале и в конце документа). Во времена Windows 98 любой школьник мог проделать такие штуки. С Windows XP эти фокусы не проходят, а методы взлома Linux знают только профи, которые и у себя в банке неплохо зарабатывают. Для проникновения на чужой компьютер необходимо иметь теперь приличную квалификацию, а персонального внимания толкового злодея удостаиваются не все. Мой компьютер вряд ли кого-то заинтересует. Другое дело, что сканированием портов все же многие балуются. Уж не знаю, чего они там ищут, но раздражает сильно. Трафик то я оплачиваю! Замечу, что адрес, с которого осуществляется сканирование, зачастую принадлежит ничего не подозревающему добропорядочному пользователю. Скорее всего, у последнего поселился червь, выискивающий очередную жертву.

Если Ваш компьютер кого-то и заинтересовал, то это близкие Вам люди. Я имею в виду деловых партнеров, начальство и ревнивых супругов. В интернете можно найти массу шпионских программ, типа клавиатурных шпионов. Если на компьютере стоит такая программа, то все, что набрано на клавиатуре, включая пароли к электронной почте, записывается в специальный файл и может быть негласно отправлено по электронной почте "хозяину".

Даже если Вам нечего скрывать, трояны, живущие в компьютере, могут интенсивно загружать линию, увеличивая трафик и мешая прохождению полезной информации. Кроме того, неграмотно написанные программы часто отнимают у компьютера системные ресурсы, а то и нарушают целостность операционной системы. Как плачевный итог - переустановка и связанные с этим потеря времени и денег.

Теперь рассмотрим наиболее популярные способы заполучить на компьютер трояна (как этого избежать - в следующей главе).

Способ первый - заразить компьютер компактным вирусом, единственной функцией которого является закачка из интернета и инсталляция полноценного "троянского коня"

Способ второй - зайти "не на тот" сайт. А уж заставить открыть страницу, содержащую опасное содержимое - дело техники и психологии.

Способ третий - дать злоумышленнику посидеть за вашим компьютером. Известны также случаи, когда посетитель в организации просто незаметно вставлял специально приготовленную "флэшку" в USB-порт, дальше - понятно.

Еще одна неприятная реалия сетевой жизни - сниффинг . По простому - перехват трафика. Из предыдущей главы (руководствуясь здравым смыслом) ясно, что исходящие пакеты уходят в некотором смысле "в эфир". По крайней мере, в пределах одной подсети они доступны всем, а это - не так уж мало. Другое дело, что "порядочный" компьютер воспринимает только адресованную ему информацию. Если же злодей установил программу - сниффер (нюхач), то может читать передаваемые данные. Восстановить весь поток - невыполнимая задача, поскольку соединение с источником не устанавливается и запросить повторную отправку потерянных пакетов не удастся (это была бы наглость - подслушивать соседей за стенкой, да еще переспрашивать, когда не расслышали). Сниффинг используют для перехвата паролей, передающихся в открытом (незашифрованном) виде.

Сознавая уровень реальной опасности, можно разумно подойти к защите своего компьютера от различных напастей. Здесь поход простой: стоимость сейфа не должна превышать стоимость хранимых в нем ценностей. Многое Вы можете сделать сами, с этого и начнем.

1. Устанавливаем нормальную операционную систему. Исходить приходится из того, что большинству пользователей подходят ОС от Microsoft. В этом случае вариантов нет - Windows XP c SP2 (как минимум). SP2 - это второй пакет обновлений, закрывший многие дыры в безопасности. Сгодилась бы и Windows 2000, но ее перестали поддерживать, а уязвимости находят все новые и новые.

2. Настраиваем минимальную защиту: включаем брандмауэр (если установлен SP2, то включен по умолчанию) для всех соединений. Делается это так: Пуск>Панель управления>Сетевые подключения, откроется окно со значками настроенных подключений. Кликаем правой кнопкой мыши по значку подключения, выбираем пункт "свойства", жмем на вкладку "дополнительно", потом в зоне "брандмауэр Windows" нажимаем кнопку "параметры". Если установлено значение "выключить", меняем его на "включить" и подтверждаем кнопкой ОК.

3. Устанавливаем антивирусное программное обеспечение. Как бы ни ругали антивирус Касперского (притормаживает работу компьютера), разумной альтернативы я не вижу. Обновляем антивирусные базы через интернет до актуального состояния. Теперь можно покопаться в настройках (в разных версиях это выглядит по-разному, поэтому подробно описывать не буду). Имеет смысл отключить ежедневную полную проверку компьютера. Обычно я отключаю автоматическое обновление, поскольку большинство компьютеров не подключены к Интернет постоянно.

4. Находим в "Панели управления" раздел "администрирование", в нем "службы" и отключаем все ненужное. Первым делом - службу сообщений. Объясню, почему. Может быть вы сталкивались с ситуацией, когда во время работы в Интернет периодически всплывает сообщение, в котором вас пугают разными ошибками в системе и прочими вирусами, предлагая зайти на такой-то сайт, где вам помогут избавиться от проблем. На самом деле, посетив такой сайт, эти проблемы можно нажить. Служба сообщений предназначена прежде всего для работы в локальной сети, с ее помощью администратор сети может оповещать пользователей о чем либо. Злодеи же используют ее для заманивания на сайты-ловушки. Еще можно смело отключать "Telnet", "Удаленный реестр" и "Сервер", если ваш компьютер не планируется использовать в качестве сервера. Чем меньше служб запущено, тем быстрее работает компьютер. Там еще много чего можно отключить, но, действовать следует с осторожностью. Если не уверены, лучше пригласите специалиста.

5. Если Вы не сделали этого ранее, установите пароли для всех пользователей позаковыристей. Последнее означает, что хороший пароль должен быть длинным и состоять из цифр, букв в разных регистрах и специальных символов.

Когда я настраиваю клиентам компьютер, то обычно останавливаюсь на этом. Для большинства это вполне достаточный уровень защиты. Тем, кто всерьез озабочен безопасностью, следует предпринять еще ряд мер предосторожности.

6. Наделить всех пользователей только минимально необходимыми правами. Например, запретить всем, кроме "Администратора", устанавливать программы. Даже если Вы единственный пользователь, создайте вторую учетную запись с ограниченными правами, и входите в систему под именем Администратор только в случае необходимости. Дело в том, что некоторые уязвимости позволяют злодею исполнять на компьютере команды от имени текущего пользователя. А если у такового прав - минимум, то и использовать уязвимость не удастся.

7. Иногда при вводе пароля, например для доступа к своему почтовому ящику, система предлагает сохранить пароль. Я всегда отказываюсь, чего и Вам советую. Это - хорошая привычка.

8. Установите полноценный файервол. Встроенный брандмауэр Windows многие действия программ попросту не отслеживает.