![[VAMPIRE]](https://forumavatars.ru/img/avatars/0003/fe/d6/2-0.gif "[VAMPIRE]")
Следующим немаловажным шагом будет выбор антивирусного ПО и сетевого экрана (firewall). Это такие же необходимые вещи, как воздух, вода и еда для человека. По статистическим данным, «голая» система выживает в открытой сети не более 20-30 минут. Ради интереса я провела короткий эксперимент. Вот, что из этого получилось:
Тестирование проводилось без какого-либо PFW (фаервол) и антивирусного ПО. Умышленно был открыт общий доступ к каталогу \Temp
Тестируемая система: Win2k/SP4;
Конфигурация используемого оборудования: Intel Ce ~700, 192 mb (cd-ram)
Действия: 10 мин. полного бездействия, 5 мин. посещения ресурса cracks.am
Результат:
1) найдены 3-ри шпионских модуля:
*WINT/Sysytem32/cd_clint.dll
*WINT/Sysytem32/cd_htm.dll
*software/cydoor_services
2) в таблице висячих sys-процессов добавлен tftp.exe
3) в зашаренный (общий) ресурс /Temp/ добавлен файл Bluecave_Winamp_Slider_(Winamp_PlugIn).zip
4) загрузка ЦП -100%, вывод времени ядра -95%
5) /Document and Settings/Temporary Internet Files/Content.IE&/ --- обнаружен вирус TrojanDownloader.JS.Gen
6) полный даун системы, вызов taskmgr.exe невозможен, вынужденный перезапуск компьютера.
Выводы делайте сами =) я лишь дам некоторое разъяснение вышеупомянутой терминологии.
PFW (персональный фаервол)/ Брандмауэр (межсетевой экран) - это система или группа систем, реализующих правила управления доступом между двумя сетями. Фактические средства, с помощью которых это достигается, весьма различны, но в принципе брандмауэр можно рассматривать как пару механизмов: один для блокирования передачи информации, а другой - для пропуска информации. Главное, что нужно знать о брандмауэрах, это что они реализуют правила управления доступом. Если не вполне понятно, какого рода доступ необходимо обеспечить или запретить, тут брандмауэр вам не поможет. Также важно знать, что конфигурация брандмауэра, определяет правила для всех систем, которые он защищает. Поэтому на администраторов брандмауэров, управляющих доступом к большому количеству хостов, возлагается большая ответственность.
В отличие от аппаратных брандмауэров, персональные (PFW) представляют собой относительно дешевое ПО, которое инсталлируется непосредственно на каждый ПК организации. Они осуществляют контроль за сетевыми устройствами и выполняют те же основные функции, что и корпоративные брандмауэры: обнаружение вторжения, контроль доступа, выполнение правил безопасности, регистрация событий. Такой брандмауэр фильтрует весь сетевой трафик, разрешая только санкционированные соединения.
Возможно ли "взломать" firewall?
В общем случае - нет. Единственный способ, какой может быть, это если злоумышленник знает, что за файрвол у вас стоит, какие в этом конкретном файрволе есть ошибки, а также сможет воспользоваться этими ошибками для получения доступа к компьютеру. Проще говоря, все зависит от конкретной реализации файрвола, но в общем случае "взломать" его практически сложно... В лучшем случае, можно просто вызвать его "падение".
Шпионские модули ("спонсорские" службы) – как правило, они появляются после установки программ, имеющих статус "adware" (т.е. бесплатно, но с баннером в окне программы). В лучшем случае такие "спонсорские" модули просто подгружают баннеры, в худшем - шпионят за пользователем и отправляют собранную информацию своим создателям. Я перечислю самые известные:
Adware, Alexa, Aureate, Comet Cursor, Cydoor, Doubleclick, DSSAgent, EverAd, Gratisware, OnFlow, Flyswat, Gator, Hotbar, NewDotNet, TimeSink, Web3000, Webhancer, Expedioware, EzUla и некоторые другие.
Для поиска и уничтожения таких модулей-шпионов, рекомендую использовать программы, типа: Ad-Aware и Spyware-Cop.
Итак, определились с терминологией? Следующий момент, если вы ещё в сомнениях, это выбор платформы ОС (операционная система). На этой теме мне также не хотелось бы заострять внимание, потому как (повторюсь) информации в сети достаточно, а мне откровенно жаль своего времени на описание недостатков и преимуществ той или иной системы. Тем более, что любая тематика такого плана может нести, как рекламную, так и навязчивую, ни чем не обоснованную информацию. ИМХО, каждый пользователь должен сам определиться с выбором своей платформы, если ещё учитывать, что назначение в использовании может быть разносторонним: то ли это будет ОС для домашнего использования, то ли как серверный вариант.
* Если вы всё же определились в выборе своей ОС, тогда ниже изложенное будет вам доступно для понимания. Далее информация будет сугубо для опытного пользователя или специалиста данной области.
* На данном этапе я расскажу основные способы защиты своей ОС как для пользователей Windows, так и для пользователей *nix.
Правила безопасности в Windows 2K/XP:
1. Перво-наперво, как и со всеми операционными системами нужно установить самый последний SP (патч, заплатка).
2. Выключить все неиспользуемые сервисы (особенно это касается Internet Services, таких как FTP, WWW, сервиса удаленного управления реестром и др.).
3. Установите файловую систему NTFS, которая позволяет разграничить доступ к каждому файлу, находящемуся у вас на диске.
4. Удалить все упоминание о пользователе Guest (Гость) или группе Everyone в установках на корневую и системную директории, запретить локальный и сетевой вход, для всех пользователей оставив только используемых на данной машине, и желательно запретить доступ по сети для пользователя Администратор.
5. Не использовать для повседневной работы пользователя Администратор, проводить аудит, если есть возможность, всех действий Администратора и периодически проверять их на наличие несанкционированных.
6. Установить фильтрацию TCP/IP пакетов оставив открытыми только используемые порты (например, для того, чтоб работал www сервер достаточно оставить открытым только 80 порт).
7. Не используйте автоматический ввод пароля при входе в систему, особенно для пользователя Администратор.
Общие рекомендации:
1. На данный момент существует множество интернет пэйджеров типа ICQ, IRC и других. ПОМНИТЕ, что ваши собеседники не обязательно относятся к вам мирно и лояльно поэтому, не убедившись в этом, не выдавайте личной информации, которая может быть использована против вас или для взлома вашего компьютера, почтовых ящиков и так далее. Желательно указывать о себе как можно меньше информации только то, что необходимо и не более, иначе, основываясь на ваших данных, можно будет провести атаку на пароль того же ICQ с помощью составленного словаря по принципу брутфорса. Скрывайте все, что только можно и, конечно же, свой IP. Не используйте дополнительных сервисов (таких, например как личная страничка в ICQ) или указания в личной информации примари-мыла, так как в них тоже очень много лазеек.
2. Многие сайты созданы специально для получения данных о посещающих их людях….вывод - не ходите туда, куда вам не надо или включите в обозревателе максимальную защищенность, т.е. без cookies и скриптов (про ActiveX вообще помолчим, J последние проблемы с безопасностью браузеров Netscape и IE, как раз были основаны на ошибках в ActiveX). Стоит задумываться, какие сайты могут заслуживать вашего доверия, а какие нет, потому что веб сервер, используя множественные ошибки операционной системы от Microsoft может делать с вашим компьютером практически все, что угодно. Без проблем может выкачать у вас любой файл или отснифать ваш ip-адрес и получить полные сведения о вашей системе, и вы даже об этом можете так никогда и не узнать, что конфиденциально важная информация стала достоянием общественности. По возможности используйте при выходе в интернет анонимные прокси сервера (в любом поисковике по ключевому слову proxy) либо поднимайте свои приватные.
3. Необходимо также установить какой-нибудь firewall, который закроет доступ к лишним портам и сервисам, висящим на них.
4. Ни в коем случае не нужно забывать о таких элементарных вещах как обычный антивирус, вроде Dr.Web, AVP, Norton Antivirus и прочие. Очень рекомендую AVG Antivirus (Copyright © 2005, GRISOFT, s.r.o.)
5. Самое опасное, что может ожидать вас в интернете это конечно обыкновенная почта, иногда несущая в себе "смерть". Уже достаточно давно, в компьютерном мире, существуют вирусы и трояны, которые распространяются с огромной скоростью, посредством интернета и электронной почты. Например "I Love You", за считанные дни вывел из строя десятки тысяч компьютеров. Вирус считывал вашу адресную книгу и отправлял от вашего имени письмо содержащее в себе некоторый текст и скрипт который оседал в вашей системе, используя ошибки в почтовом клиенте Outlook Express (вирус написан на языке Vbscript, технически его может реализовать практически любой студент, изучающий этот язык программирования), Outlook Express автоматически запускает файлы, которые идут с письмом в attachment, не надо иметь много фантазии, чтобы понять, чем это грозит. Также стоит упомянуть вирус Klez, который использовал уязвимость в защите IFrame, чтобы запускаться автоматически при просмотре заражённых сообщений. Предотвратить это можно, установив заплатку любезно предоставленную Microsoft. Чтобы вылечить уже зараженный компьютер можно воспользоваться утилитой для лечения Klez (всех версий) предоставленную Лабораторией Касперского.
Ваш почтовый клиент - это следующая ступень вашей защиты после firewall и антивируса, я могу рекомендовать почтовый клиент TheBat, который является одной из лучших программ своем классе, но не стоит забывать, что и в нем были обнаружены уязвимости, которые использовал вирус - Stator.
6. Если у вас есть локальная сеть и есть зашаренные (для общего доступа) диски значит вы больше чем потенциальная жертва. Самые примитивные сканеры обнаружат отрытые соединения и смогут подключить ваши ресурсы как сетевые диски. Вот такой сервис можете по незнанию оказывать взломщикам. А что бы этого не случилось обратите внимание на привязку tcp/ip - dial up adapter и оставьте там только привязку к клиенту microsoft network и все будет ок.
7. Не стоит забывать о снифферах, с помощью которых ваши пароли могут стать достоянием общественности. Чтобы защитить конфиденциальную информации нужно использовать программы шифрования трафика, такие как PGPNet которая входит в комплект программы PGP Freeware.
8. Если Вы пользуетесь каким-либо IM-клиентом, а также, почтовой клиентской программой, то изначально нужно устанавливать эти приложения только на шифрованный PGP диск.
9. Если же Вы работаете в крупной фирме и корпоративная политика кампании не предусматривает самопроизвольной установки дополнительного ПО, тогда не сохраняйте логи, не ведите icq-историю, паролируйте почтовые аккаунты в своих почтовых программах. Отключайте хранение контактов на сервере.
10. Используйте надёжные IM-клиенты, которые имеют надёжную структуру и возможность подключения дополнительных модулей безопасности. Например, к miranda есть неплохой плагин SecureIM, который генерирует случайный ключ для шифрования пересылаемых сообщений и любой сниффер, перехвативший пакет сообщения, видит текст лишь в зашифрованном виде, вот пример:Цитата
19.10.2005 11:42:19 192.168.10.100->хххххх ----Secured@hell----BТ2874B5D6239E79AF9ED522241EB895
19.10.2005 11:42:21 хххххх ->192.168.10.100 ----Secured@hell----D9FA2D7645E98DA9878E5FABC1AC8028A
19.10.2005 11:42:25 хххххх ->192.168.10.100 ----Secured@hell----532BК7E20CEF0E6A0227637CC487ABFD
19.10.2005 11:42:38 192.168.10.100-> хххххх ----Secured@hell---- 314B591A3F270EAB5A710794CCE43C14E55AD02F762A1670ECB4B43E90B16BE95AB17C40798BF95480EA6CD88C15FB56C8C2
A4AE206CE692F3CB70DF5F6C5AF1
Человеческий фактор (социальная инженерия)
Часто при попытках проникновения на компьютер, почтовый ящик и т. д., используются:
1) Не верьте письмам присланным от лица администрации каких либо сервисов в интернете с просьбой выслать им пароль в следствии его утери или еще по какой причине (им проще поменять его и выслать вам новый);
2) Ни в коем случае не запускайте файлы присланные вам по почте, ICQ и т.д. без предварительной проверки на вирусы (и даже после таковой, файлы от сомнительных людей лучше подвергнуть тщательной проверке, например с помощью антивируса с последним обновлением). Стоит очень хорошо подумать, прежде чем запускать что-то пришедшее "от туда", вот один из самых примитивных способов:
3) В ICQ, методом социальной инженерии, "хакер" прикидывается девушкой и вступает с жертвой в разговор. Заинтересовав разговором, он под каким либо предлогом устроит обмен фотографиями, только жертва ему пошлет нормальную фотографию, а "хакер" пошлет обыкновенный троян, склеенный с jpg форматом и будет выглядеть как обыкновенная картинка. Как только жертва запустит эту картинку-программу, троян выполнит свое черное дело, заразив систему и распаковав из своего тела небольшую фотографию. Жертва скорее всего не сразу догадается, о том что произошло, ну а последствия могут быть очень серьезными...
Правила безопасности в *nix:
1. Ни в коем случае не работать в системе под логином суперпользователя, когда это требуется - использовать команды su, sudo.
2. Закрыть ненужные сервисы.
3. Нужные сервисы прикрыть superdemon xinetd для xinetd.
4. Отредактировать файлы /etc/host.allow и /etc/host.deny.
5. Оптимизировать ядро под ваши конкретные потребности, перекомпилировав ядро.
6. Регулярно обновлять компоненты системы и отслеживать баги (ошибки) вашей системы.
7. Навечно отключить сервисы RPC и telnet (telnet нужно заменить на ssh и включить через xinetd).
8. Включите подробное логирование важных сведений в системе. Используйте программы обнаружения вторжения, например SNORT (Snort – облегченная система обнаружения вторжения. Snort обычно называют “обгегченным” NIDS, - потому что это он разработан прежде всего для
маленьких сетей. Программа может исполнять анализ протокола и может использоваться, чтобы обнаружить разнообразные нападения и исследовать проблемы, типа переполнения буфера, скрытых просмотров порта, CGI нападения, попыток определения OS и т.п. Snort использует 'правила' (указанные в файлах 'правила'), чтобы знать какой трафик пропустить а какой задержать.)
9. Запретить удаленного root`a (т.е. отключив удалённого рута (система ограничивает простых пользователей, контролируя их действия) и когда это необходимо, переключайтесь в режим суперпользователя командой su, sudo -s)
10. Научитесь планировать, устанавливать и настраивать межсетевые экраны, проектировать системы обнаружения вторжения, анализировать сигнатуры проникновения, выполнять анализ рисков, создавать политику безопасности.
Старайтесь не выдавать сообщения при входе в систему вообще, а тем более с информацией о вашей системе. Знание версии и дистрибутива могут существенно облегчить задачу взломщику.
Запомните, root - единственный пользователь в системе, права которого система не ограничивает. Находясь в системе под этим аккаунтом, вы подвергаете систему серьезному риску, все программы, которые вы запустите, унаследуют неограниченные права. Если злоумышленник взломает одну из запущенных вами программ, то он может получить неограниченные полномочия. Для большей безопасности используйте пользовательский доступ. Программа, которая использует уязвимость для разрушения защиты другой программы, называется эксплойт. Обычно эксплойты предназначены для получения доступа к уровню суперпользователя или, другими словами, повышения привилегий.
Ограничьте, до минимума, список пользователей которые, могут пользоваться командами sudo. Заблокируйте вход рута для всех удаленных сервисов, ограничьте список локальных консолей, в которые может зайти суперпользователь (/etc/seccure). Также подредактируйте /etc/login.defs, там проставляются параметры входа в систему посредством терминалов.
Linux - система класса SYSTEM 4. Это значит, что работа системных сервисов делится на 6 уровней (runlevel) и каждый уровень соответствует директории, которые активируются и деактивируются симлинками. Подробную информацию вы найдете в соответствующем руководстве.
От вас требуется запустить программу setup и выбрать системные сервисы которые вам нужно загружать на текущем уровне, все остальные нужно отключить.
xinetd демон контролирует указанные порты, при обращении на какой либо, он проверяет права доступа к данному сервису. При положительном исходе он активирует данный сервис. Сервисы ssh, ftp, dhcp, sendmail/qmail, imap, pop3, portmap, nfs и некоторые другие можно запускать через сервис xinetd, соответственно настроив файл xinetd.conf. Настраивая сервис, четко прописывайте, кто имеет право доступа к данным сервисам и по возможности запускайте его не из под root.
Для демона xinetd есть дополнительная защита в файлах host.deny, пропишите all:all, это запретит доступ всем ко всем сервисам тем, кто не разрешен в файле host.alow. Доступ следует прописывать соответственно: название сервиса и кому он будет доступен. Не открывайте сервис если это вообще не требуется, прописывайте доступ только тем, кому это требуется.
Перекомпилируйте ядро в соответствии с вашими аппаратными требованиями. Не включайте в него необязательные или лишние компоненты, старайтесь переносить большую часть ядра в модули для уменьшения его объемов. Используйте стабильные версии ядра.
Навечно выключите и забудьте о таких сервисах как, telnet, rpc, rsh, rlogin эти сервисы уязвимы для примитивного прослушивания пакетов, информацию и пароли они передают в незашифрованном виде. Обыкновенный сниффер с легкостью перехватит любую информацию и пароли, которые вы будете передавать посредством этих демонов. telnet замените на ssh, inetd замените на xinetd.
Включите точное логирование всех опасных событий в системе. Используйте сканеры проникновения в систему, анализаторы сетевого трафика, и программы типа tail, например root-tail.
Система обнаружения вторжения с использованием встроенных средств Windows.
Представим себя на месте злоумышленника, который хочет проникнуть в вашу сеть. С чего бы он начал? Скорее всего, сначала он бы попытался собрать как можно больше информации о структуре вашей сети. Предположительно, что он бы использовал инструменты типа whois, dig, nslookup, tracert, а также доступные источники информации в Интернет. Предположим, что он сумел найти маленькую часть вашей сети, которая не была защищена межсетевой защитой. К примеру, он проводил сканирование портов и заметил, что у некоторых компьютеров открыты 135, 139, 389 и 445 порты – самая опасная лазейка в Windows 2000. Он мог также заметить, к примеру, что у одного из компьютеров открыты 80 и 443 порты, которые, скорее всего, относятся к Web серверу IIS 5.0.
Как мы можем обнаружить злоумышленника при этих действиях? Прежде всего, легко заметить сканирование портов. Также можно заметить внезапное увеличение сетевого трафика. Обычно для этого можно использовать специальные инструменты, но в Windows 2k вы можете просто добавить предупреждение в мониторе производительности (performance monitor), когда превышен определенный предел. Хорошими индикаторами сетевого трафика являются счетчики TCP-Segments/Sec. или Network Interface-Packets/Sec. Сканирование портов обычно проявляется как устойчивое увеличение трафика в течение нескольких минут, в зависимости от количества просмотренных портов. Другой простой индикатор сетевого трафика на вашем компьютере – это значок на панели задач, который показывает деятельность вашего сетевого адаптера. Для включения индикатора, зайдите в панель задач, и отметьте опцию "Show icon in taskbar when connected". И, наконец, есть встроенный инструмент командной строки netstat. Если вы подозреваете просмотр ваших портов, вы можете использовать команду:
Netstat -p tcp -n
Если ваши порты в настоящее время действительно сканируют, то в зависимости от используемого инструмента, вы получите результаты, аналогичные этим: Цитата
Active Connections
Proto Local Address Foreign Address State
TCP 127.13.18.201:2572 127.199.34.42:135 TIME_WAIT
TCP 127.13.18.201:2984 127.199.34.42:1027 TIME_WAIT
TCP 127.13.18.201:3106 127.199.34.42:1444 SYN_SENT
TCP 127.13.18.201:3107 127.199.34.42:1445 SYN_SENT
TCP 127.13.18.201:3108 127.199.34.42:1446 SYN_SENT
TCP 127.13.18.201:3109 127.199.34.42:1447 SYN_SENT
TCP 127.13.18.201:3110 127.199.34.42:1448 SYN_SENT
TCP 127.13.18.201:3111 127.199.34.42:1449 SYN_SENT
TCP 127.13.18.201:3112 127.199.34.42:1450 SYN_SENT
TCP 127.13.18.201:3113 127.199.34.42:1451 SYN_SENT
TCP 127.13.18.201:3114 127.199.34.42:1452 SYN_SENT
Заметьте последовательность портов, связанных с местным и внешним адресом. Также заметьте большое количество SYN_SENT входов. Некоторые средства просмотра могут отображаться как ESTABLISHED или TIME_WAIT. Ключевой индикатор - последовательность портов и большое количество подключений с одного хоста.
Управление безопасностью
Цель управления безопасностью - контроль за доступом к ресурсам сети согласно локальным руководящим принципам для того, чтобы предотвратить диверсии (преднамеренные и непреднамеренные) и исключить доступ к служебной информации без соответствующей авторизации. Например, подсистема управления безопасностью может заведовать регистрацией пользователей, производящих доступ к сетевым ресурсам, отказывая при этом тем, кто вводит неверный код доступа.
Подсистема управления безопасностью разделяет сетевые ресурсы на авторизованные (санкционированные) и неавторизованные (несанкционированные) области. Для некоторых пользователей доступ ко всем ресурсам сети запрещен. Такими пользователями, как правило, являются не служащие компании. Для других пользователей (внутренних) закрыт доступ к информации, выходящей из определенных подразделений. Например, доступ к файлам, содержащим информацию о кадрах, для многих пользователей кроме кадрового подразделения закрыт.
Подсистемы управления безопасностью обеспечивают несколько функций:
Идентификация важных сетевых ресурсов (включая системные, файлы и другие объекты).
Определение соответствия между важными сетевыми ресурсами и установками пользователя (может ли пользователь иметь доступ к этим ресурсам).
Управление доступом к важным сетевым ресурсам.
Регистрация попыток доступа к важным сетевым ресурсам.
// Следите за информацией bugtraq и обновляйте свои компоненты, следите за патчами.