Как разблокировать аккаунт » защита

Меня хакнули! Или как бы так, что бы не…

admin — Thu, 13 May 2010 05:04:35 +0000

конецформыначалоформыНаверняка всех уже ни раз волновали вопросы, типа, «Почему?», «Как же так?», «Так где же брешь в системе?» и т. д.
Надеюсь, эта статья немного Вам расскажет — КАК, ПОЧЕМУ, ЗАЧЕМ, а главное — «Как что бы не…?»
Допустим, у Вас был интересный Интернет-проект. Посещаемость высокая — целых 10 человек в день!:D Приходят они в основном со страниц типа «http://coolCAP.bla-blah-blah.pp.ru/vasya-pupkin/mybanner.php», но не в этом дело
«МЕНЯ ВЗЛОМАЛИ!!!», орешь ты друзьям по телефону, пуская слезы и брызжя слюной от ярости. «Я над сайтом же столько времени работал, не покладая рук!!! А кто то одной рукой его снес!..» Так вот недавно почти на моих глазах сломали один сайт… Загрузил, все нормально. Жму рефреш — новая страница: «Сайт взломал Хакер: отключено за неуплату :D»
И это не смешно. Такое было и со мной.
Помню, построил я свой первый usa-student, а паролем для публичного входа в чат поставил свой пасс от сервера Умных много
А я до этого повздорил с одним парнем… Щас мы типа друзья Он мне грозился, что сайт хакнет, а я и не верил. Недооценил парня
В итоге, после очередного матерного сообщения в гостевуху внизу появилась приписка, что, мол, «Это сообщение ты уже НИКАК не сотрешь! Попал ты, Вася Пупкин!». И вот он, предо мной предстал во всей красе он — КРЭКИНГ.
Узнал я обо всем только позже… Теперь я умнее и мой пароль состоит не из 8 знаков (моя дата рождения :D), а из 12 И это уже не телефон, дата рождения или что то еще — просто произвольный пароль букв и цифр =) Так что никакого брутфорса!
Итак, анализируем ситуацию. Давайте взглянем на то, что произошло между (М)ной и тем (П)арнем (ник в целях его же безопасности скрою
Итак, «Меня хакнули!»…
Давайте разберемся: что же все таки произошло?
1 — Конфликт;
2 — Психическое давление на (М) и (П);
3 — Месть.
4 — Переговоры с врагом;
5 — Распространение личных данных;
6 — Ошибка в составлении страницы (указание пароля от сервера);
Как бы это ни казалось странным — этот список расположен ИМЕННО В ТОМ ПОРЯДКЕ, в котором развивался крэкинг моего сайта.
Все начилось с конфликта. Теперь я понял, что это была моя ошибка. Я начал возню с тем, что типа «Ты лох, а я круче и умнее» и т. п.
(*)ВОТ ОНО — золотое правило! Не гадьте людям! Никогда не начинайте драку первым! А если и начали — постарайтесь вовремя извиниться!
Идем дальше.
Мы долго друг на друга давили. (М): «Да ты тупой лох, который ничерта в компьютерах не смыслит! Я тут король и типа я самый крутой!», (П): «Нифига, ты отстой, да у тебя вот и дизайна на сайти нет…», и т. д. и т. п.
Все закончилось словами (П): «Я тебя хакну!» (М): «Не верю!». Дальше пошел крэк.
(*) Второе — серебрянное правило — если на Вас давят и ровняют с землей — не реагируйте! Неужели тот, кто на Вас давит — Вам авторитет? Если да (к примеру — ваш более КулХацкерный Братишка:) — то стоит еще над этим подумать. ПРОСТО НЕ ОТВЕЧАЙТЕ!!! Иначе это повлечет АВТОМАТИЧЕСКИ (*) третье праило! Это уже психический анализ — какую реакцию у Вас вызовут слова «Ты идиот нифига не смыслящий в хаке!»? Правильно — отрицательную реакцию в виде ответа. НЕ ОТВЕЧАЙТЕ НА ЗЛОБУ! Вам чел не авторитет — просто не слушайте его! Я знаю, это может быть трудно, Вас будет распирать месть, но… Все таки постарайтесь!
Идем, а точнее, просто летим к намберу три.
Мстя. Глупо и невежливо. Поговорим о ней.
Допустим, Вас таки прет чувство сказать все, что вы о Враге думаете. Сказали. И вот он миг расплаты — Вас хакают! Сразу говорю — зря не остановились на правиле 2. ОДНАКО — еще не поздно! И еще одно правило:
(*) Три — НИКАКОЙ МЕСТИ!!! Не мстите да не мстимыми будете ;)!!!
Кто знает, с кем Вы имеете дело? Вдруг Вас потом так отошьют, что КулКомп придется менять? По этому не ХОРОШО ПОДУМАЙТЕ над тем, стои мстить или нет, а ПРОСТО НЕ МСТИТЕ!!! Вот лично я испытал на себе, какое это горе и несчастье, когда то, над чем ты более полутора месяца работал вот так просто хакают, как нос от сопли подтирают, или стирают вообще и не дают больше доступа к серверу. По этому — не причиняйте боль другим и не выпендривайтесь, что «Вы можете, а он не может». Кто знает, что может быть???
Дополнение к правилу 3: представьте, что то, над чем вы кропотливо работали более месяца стирают с сервера и(ли) прикрываю его вообще (тьфу-тьфу-тьфу!)? Во-во, вот именно!
Так что Вы не Бог, Бог только один. И Вы даже не правите миром. Кому мастдай никто не решает. Ни я, ни Вы, ни кто либо еще.
ОК, надоело, не правда ли?
Ползем к номеру 4.
Не надо переговариваться. Это безрезультатно. Подумайте об этом.
Представим, что Вас взломали. (М)»Ну че, козел, сломался мой сайтик? Пасибки, я тя тоже очень люблю! =)» (П): «Да ты щенок, ты ниче не умеешь!» и все пошло сначала… С самого №1. Нету сайта — (П) найдет что нибудь еще. Начиная от Е-Маил адреса и заканчивая Вашим красивым шестизнаком. Да-да! Не думайте, что (П) на этом остановится…
(*) Намбер фор — не надо вести переговоры. Исправить ситуацию в лучшую сторону с их помощью гораздо труднее, чем испортить. Так что, ничего хорошего Вы добиться практически не сможете. Уж не держите на меня обиду, я просто говорю то, что думаю…
Ну, чтож? Рассмотрим номер 5
Конечно, узнать обо мне инфу не состовляло особого труда Народ.ру все расскажет, всем покажет Не подумайте о нем плохо
(*) Пять — давайте о себе КАК МОЖНО меньше инфы! Ника и номера аськи или имэйла вполне хватит! Чем больше данных, типа, дата рождения (в моем случае именно он и являлся паролем ), город и страна проживания, а тем более — имя и фамилия!.. Не общайтесь на личные темы с незнакомцами. «Проверьте» человека до того, как ему доврять такие данные. Ито — после их сдачи не стесняйтесь — не просите, а ТРЕБУЙТЕ ОБЕЩАНИЯ никому их не разглашать без Вашего соглашения! Чем меньше о Вас знает рунет — тем лучше!
И наконец то мы добрались до финишной прямой — золотой секрет номер 6 =)
(*) 6 — не составляйте легких паролей. Я знаю, уже есть ни одна статья по этому поводу. И тем не менее — старайтесь соблюдать правила пароля:
А) 6-10 знаков и цифр;
Б) НИКАКИХ СЛОВ, типа vovochka или vOVochKA — это не имеет значенимя!
В) Не ставьте пароля типа 241-56-38 как ваш телефон или 06091782 в качестве даты рождения и т. д.:)
Такие «Пропускные слова» находятся за 2-5 минут(ы) любого самого убогого брута
М-да, ну и, тем не менее, класть свой пароль типа «Демо-вход в админку новейшего скрипта на моем сайте!» отличным (ЖЕЛАТЕЛЬНО НА МНОГО!) от пасса к FTP.
Это основные правила. Тут их всего 6, на самом деле их намного больше.
И на последок…
Старайтесь не попадаться на уловки типа «Неплохая прога этот FTP-клиент!» весом в 15 килобайт =) Люди, будьте умнее
ОЧЕНЬ СОВЕТУЮ обращаться к людям уважительно. А точнее, не очень, а НАСТОЯТЕЛЬНО РЕКОМЕНДУЮ и советую. Ведь никто не любит, когда с ним как с собакой «беседуют» (в лучшем случае)
Обратите внимание, я практически всегда использую Вы, и очень редко (ито, только если пропустил) — вы. Это тоже в своей мере «уважение». Все же приятнее, чем «вы» =)
Конечно, и я не сопротивляюсь — у кого то могут быть двоичные и противостоящие мне мнения… Я его никогда и никому не навязываю, не навязывал и не буду навязывать… На то на хакзоне и создан портал-блок статей, чтоб люди высказывались и делились мнениями Лично я очень доволен, что это сделал. Надеюсь, что-то из этой статьи Вам запомнится. Может быть, Вы поймете, что что то делали неправильно и теперь исправитесь. Ибо я Вас по-любому не призываю к этому.
Данная статья чисто познавательная. Созданна исключительно для принятия ч.-либо на заметку Так что поросьба самим делать выводы, и дальше думать, что называется, «Бай йёрселф» =)
Лично мое дело — поделиться этими маленькими хитростями с Вами. Что я с удовольствием и сделал

Файл 7f5ddbf668be432bbaf47f6ed1d47c4b/sape.php не найден!

Советы по настройке локальных сетей

admin — Thu, 13 May 2010 05:04:35 +0000

Все перечисленные здесь советы относятся, в основном, к небольшим домашним локальным сетям, предназначенным в основном для обмена файлами между компьютерами по протоколу NetBios.
Если на компьютерах, входящих в сеть, установлен Windows 9X, то лучше всего сделать протоколом по умолчанию IPX (и включить параметр NetBIOS через IPX): он позволяет быстрее передавать файлы. Если в сети имеются компьютеры и с Windows 9X и с Windows 2000 (или Windows XP), то протоколом по умолчанию лучше сделать TCP/IP (так как именно этот протокол используется по умолчанию в Windows 2000/XP).
Если в сети используется протокол TCP/IP, то лучше назначить всем компьютерам статические IP-адреса. Как правлило, это позволяет зачительно ускорить загрузку Windows и снижает нагрузку на сеть.
Если часто получается так, что компьютеры после загрузки не видят друг друга, то имеет смысл назначить один из компьютеров координатором сети. (Для этого в «Свойствах службы доступа к файлам Microsoft» выберите «Координатор сети — включен».
Если на разных компьютерах установлены разные версии Windows, и они «не видят» друг друга, то можно попробовать установить статические IP-адрса, начинающиеся с 169.254.???.???. (Эти адреса считаются используемыми по умолчанию для локальный сетей Microsoft).
Для ускорения выключения компьютера можно отключить оповещение, которое компьютер рассылает по всей сети, когда идет подготовка к отключению. (Для этого в «Свойствах службы доступа к файлам Microsoft» выберите «Оповещение LM — включено».
Также для небольших сетей, использующих протокол TCP/IP, имеет смысл прописать имена и адреса всех компьютеров в файле lmhosts. Файл этот находится в каталоге C:WindowsSystem32driversetc, и должен иметь следующий формат:
IP.ad.re.ss hostname #PRE
Директива PRE означает, что адрес должен загружаться в кеш при загрузке адресов.

Файл 7f5ddbf668be432bbaf47f6ed1d47c4b/sape.php не найден!

Основные понятия компьютерной безопасности

admin — Thu, 13 May 2010 05:04:35 +0000

Угроза безопасности компьютерной системы — это потенциально возможное происшествие, которое может оказать нежелательное воздействие на саму систему, а также на информацию, хранящуюся в ней.
Уязвимость компьютерной системы — это некая ее неудачная характеристика, которая делает возможным возникновение угрозы.
Наконец, атака на компьютерную систему — это действие, предпринимаемое злоумышленником, которое заключается в поиске и использовании той или иной уязвимости.
Исследователи обычно выделяют три основных вида угроз безопасности — это угрозы раскрытия, целостности и отказа в обслуживании.
Угроза раскрытия заключается том, что информация становится известной тому, кому не следовало бы ее знать. Иногда вместо слова «раскрытие» используются термины «кража» или «утечка».
Угроза целостности включает в себя любое умышленное изменение данных, хранящихся в вычислительной системе или передаваемых из одной системы в другую. Обычно считается, что угрозе раскрытия подвержены в большей степени государственные структуры, а угрозе целостности — деловые или коммерческие.
Угроза отказа в обслуживании возникает всякий раз, когда в результате некоторых действий блокируется доступ к некоторому ресурсу вычислительной системы. Реально блокирование может быть постоянным, так чтобы запрашиваемый ресурс никогда не был получен, или оно может вызвать только задержку запрашиваемого ресурса, достаточно долгую для того, чтобы он стал бесполезным. В таких случаях говорят, что ресурс исчерпан.
В локальных вычислительных системах (ВС) наиболее частыми являются угрозы раскрытия и целостности, а в глобальных на первое место выходит угроза отказа в обслуживании.

Файл 7f5ddbf668be432bbaf47f6ed1d47c4b/sape.php не найден!

Классификация компьютерных атак

admin — Thu, 13 May 2010 05:04:35 +0000

Формы организации атак весьма разнообразны, но в целом все они принадлежат к одной из следующих категорий: Удаленное проникновение в компьютер: программы, которые получают неавторизованный доступ к другому компьютеру через Интернет (или локальную сеть);
Локальное проникновение в компьютер: программы, которые получают неавторизованный доступ к компьютеру, на котором они работают;
Удаленное блокирование компьютера: программы, которые через Интернет (или сеть) блокируют работу всего удаленного компьютера или отдельной программы на нем;
Локальное блокирование компьютера: программы, которые блокируют работу компьютера, на котором они работают;
Сетевые сканеры: программы, которые осуществляют сбор информации о сети, чтобы определить, какие из компьютеров и программ, работающих на них, потенциально уязвимы к атакам;
Сканеры уязвимых мест программ: программы, проверяют большие группы компьютеров в Интернет в поисках компьютеров, уязвимых к тому или иному конкретному виду атаки;
Вскрыватели паролей: программы, которые обнаруживают легко угадываемые пароли в зашифрованных файлах паролей;
Сетевые анализаторы (sniffers): программы, которые слушают сетевой трафик. Часто в них имеются возможности автоматического выделения имен пользователей, паролей и номеров кредитных карт из трафика;
Модификация передаваемых данных или подмена информации;
Подмена доверенного объекта распределённой ВС (работа от его имени) или ложный объект распределённой ВС (РВС).
Социальная инженерия — несанкционированный доступ к информации иначе, чем взлом программного обеспечения. Цель — обхитрить людей для получения паролей к системе или иной информации, которая поможет нарушить безопасность системы.

Файл 7f5ddbf668be432bbaf47f6ed1d47c4b/sape.php не найден!

Бесплатные проги безопасности

admin — Thu, 13 May 2010 05:04:35 +0000

По мере того, как в компьютерной отрасли появляются все новые и новые средства защиты систем и сетей, пользователи начинают проявлять все больший интерес к свободно распространяемому программному обеспечению, стремясь понять, превосходят ли его потенциальные преимущества возможные недостатки.
Хотя свободно распространяемые системы защиты существуют уже давно, они никогда не использовались столь широко, как операционная система Linux и Web-сервер Apache. Джон Пескаторе, директор компании Gartner по исследованиям, связанным с безопасностью в Internet, отметил, что среди применяемых систем защиты на долю свободно распространяемых средств сейчас приходится 3-5%, но к 2007 году этот показатель может возрасти до 10-15%.
Основной причиной такого потенциала является качество многочисленных свободно распространяемых пакетов защиты. «Поддержка некоторых общеупотребительных средств защиты осуществляется на достаточно высоком уровне, и многие разработчики предлагают для них новый инструментарий и шаблоны. В определенном смысле такие решения конкурируют с коммерческим инструментарием», — заметил Юджин Спаффорд, директор Центра обучения и исследований в области информационной безопасности университета Пурди.
К свободно распространяемым программным продуктам относятся бесплатные инструментальные средства, которые можно загрузить из Internet, пакеты, для которых производители предлагают коммерческие услуги поддержки, а также дополнительный инструментарий, поставляемый вместе с коммерческими продуктами.
К наиболее популярным инструментам относятся Netfilter и iptables; системы обнаружения вторжений, например, Snort, Snare и Tripwire; сканеры уязвимых мест в системах защиты, такие как Kerberos; межсетевые экраны, в частности, T.Rex.
Некоторые предприятия даже начали использовать свободно распространяемые системы защиты для обеспечения безопасности своей критически важной инфраструктуры.
Растущий интерес
ИТ-специалисты в той или иной степени используют свободно распространяемые средства защиты уже около 15 лет. Сейчас все больший интерес к таким инструментам проявляют крупные компании, консультанты по вопросам защиты и поставщики услуг, которые могут адаптировать подобное программное обеспечение к нуждам конкретных пользователей. Например, EDS начала использовать свободно распространяемый инструментарий защиты компании Astaro для обеспечения безопасности компонента переднего плана Web-сайтов нескольких кредитных союзов, предлагающих возможности обработки транзакций.
Интеграторы систем информационной безопасности признают, что пользователей привлекает невысокая цена свободно распространяемых средств. Например, Ричард Майр, управляющий директор R2R Informations und Kommunikations, отметил, что его компания уже долгие годы предлагает свой коммерческий межсетевой экран. Однако собранные данные показывают, что 75% клиентов компании отдают предпочтение свободно распространяемым аналогам. Компания Guardent предлагает подписку на услуги Internet-защиты стоимостью 1,5 тыс. долл. в месяц, основу которой составляет ее Security Defense Appliance. Это решение объединяет в себе коммерческие компоненты, такие как межсетевой экран PIX компании Cisco Systems, и свободно распространяемые компоненты, в том числе iptables, Nessus и Snort. Аналогичная услуга, опирающаяся исключительно на коммерческие продукты, может стоить около 10 тыс. долл.
В то же время, компания C2Net Software, которую недавно приобрела Red Hat, разработала свой коммерческий сервер Stronghold Secure Web Server на базе Apache и OpenSSL — свободно распространяемого инструментария, реализующего протоколы защиты на уровне сокетов и на транспортном уровне, а также содержащего криптографическую библиотеку общего назначения.
По словам консультанта по вопросам защиты Пола Робичаукса из компании Robichaux & Associates, организации, которые предъявляют особые требования к защите, определяемые законодательством, например, работающие в области здравоохранения и финансов, вряд ли станут использовать свободно распространяемый инструментарий. Вместо этого, они, скорее всего, будут по-прежнему зависеть от производителей, на которых они могут возложить ответственность за нарушение защиты. Робичаукс считает, что свободно распространяемые системы защиты чаще будут использоваться консалтинговыми и сервисными фирмами, которые уже знают эти инструментальные средства и доверяют им, а также компаниями, чьи отделы ИТ уже опробовали такие решения.
Марк Кокс, директор по разработке группы OpenSSL компании Red Hat добавил: «Организации, работающие на Unix-платформах, таких как Linux и Solaris, скорее всего, будут выбирать инструменты типа Nessus, Snare и Snort, поскольку их история разработки и использования аналогична Unix».
Свободно распространяемые средства защиты: за и против
Сравним свободно распространяемые и коммерческие инструментальные средства по затратам, качеству и технической поддержке.
Затраты. Одно из основных преимуществ свободно распространяемых инструментальных средств — их меньшая по сравнению с коммерческими продуктами стоимость. Такие системы распространяются бесплатно или по очень низким ценам, а, кроме того, они либо вообще не предусматривают лицензионных выплат, либо выплаты эти значительно меньше, чем для коммерческих продуктов. Однако некоторые пользователи на собственном опыте убедились, что утверждение «вы получаете то, за что заплатили» в полной мере применимо к свободно распространяемому инструментарию.
Однако Бадди Бакстер, технический менеджер EDS по инфраструктурным решениям для кредитных союзов, полагает, что если продукт стоит дороже, это вовсе не означает, что он будет в большей степени защищен. По его словам, EDS может установить систему защиты на основе программного инструментария Astaro, которая будет стоить вчетверо дешевле коммерческого продукта компании Check Point Software Technologies.
Качество. Директор по технологиям компании Guardent Джерри Бреди подтвердил, что некоторые свободно распространяемые инструментальные средства защиты не хуже (а то и лучше) их коммерческих аналогов. Например, по его словам, сканер уязвимых мест защиты Nessus обеспечивает лучшие возможности распределенной обработки, удаленного запуска и планирования, чем многие коммерческие продукты. «Благодаря использованию свободно распространяемой методологии вы можете в большей степени сосредотачиваться на тех вещах, которые действительно важны. Для Nessus вопросы распространения намного менее приоритетны, чем вопросы качества кода», — подчеркнул он.
Однако ему возражает Маркус Ранум, эксперт по вопросам защиты и глава компании NFR Security: «Не думаю, что программы имеют высокое качество уже потому, что распространяются свободно. На самом деле, качественным продукт делает именно его целенаправленная разработка. А открытость этого никак не гарантирует».
С ним согласен и Спаффорд: «Надежность продукта определяется в первую очередь его качеством и поддержкой. Был ли он хорошо спроектирован? Придерживались ли его разработчики четкой дисциплины и не добавили ли к нему чересчур много функций? Многое свободно распространяемое программное обеспечение создается людьми, не имеющими надлежащего опыта, инструментальных средств, времени или ресурсов для того, чтобы сделать это настолько тщательно, как того требует действительно высоко надежная среда».
Сторонники свободно распространяемых решений утверждают, что открытый код изучает очень много специалистов, поэтому они способны обнаружить проблемы намного быстрее, чем ограниченный круг разработчиков, создающих коммерческий продукт той или иной компании. «Поисками и исправлением ошибок в общедоступном программном обеспечении могут заниматься намного больше людей», — сказал Майк Куртис, директор по исследованиям компании Redsiren Technologies, предоставляющей услуги обеспечения информационной безопасности.
Кроме того, как заметил Куртис, разработчики свободно распространяемых программ могут быстрее реагировать на обнаруженные изъяны в защите, чем коммерческие компании просто в силу меньшей загруженности и отсутствия бюрократических препон. «Разработчики свободно распространяемых решений в большей степени заинтересованы в том, чтобы исправить обнаруженные ошибки, чем добавить новые возможности для следующей версии», — считает он.
Однако с ним не согласен Ранум: «Исходя из собственного опыта, могу подтвердить, что очень немногие специалисты действительно тщательно изучают код. Они, как правило, просто просматривают файлы с описанием. Созданный мною первый открытый пакет инструментальных средств для межсетевого экрана в той или иной степени использовали около 2 тыс. сайтов, но лишь десять человек сообщили о нем свое мнение или прислали заплаты, исправляющие ошибки. Так что я бы не стал уповать на открытость программного обеспечения», — сказал он.
Многие сторонники закрытых исходных текстов считают, что для поиска ошибок в программе важнее качество, а не число изучающих ее людей. Они утверждают, что эксперты по программному обеспечению компании-производителя, работающие над своими продуктами, выполняют работу более качественно, чем те, кто изучает свободно распространяемые пакеты.
К его мнению присоединяется и Спаффорд. «Во многих компонентах свободно распространяемого программного обеспечения были найдены ошибки после того, как их долгие годы использовали и изучали сотни тысяч раз. Ошибки не были обнаружены просто потому, что те, кто просматривал этот код, не имели необходимых навыков, позволяющих это сделать. Во многих случаях пользователи изучают код, чтобы адаптировать его к своим нуждам, а не для того, чтобы детально его проанализировать», — заметил он.
Поддержка. Сторонники коммерческого программного обеспечения утверждают, что их производители, в отличие от организаций, занимающихся свободно распространяемыми решениями, предлагают клиентам услуги поддержки и другие ресурсы, которыми можно воспользоваться в случае каких-либо проблем. Однако такой подход позволяет усилить позиции и тем, кто предлагает услуги поддержки пользователям свободно распространяемого программного обеспечения защиты.
«Служба поддержки дает более надежные гарантии клиенту и позволяет оказать ему помощь. Вы можете определить соглашение об уровне обслуживания и предоставить производителю возможность самому выбирать нужный инструментарий и помогать клиентам адаптироваться к изменениям в технологии», — заметил Бреди.
Другие вопросы. Некоторые сторонники закрытых исходных текстов считают, что из-за доступности свободно распространяемого кода хакерам намного проще разобраться, каким образом можно преодолеть такую защиту. Однако апологеты свободно распространяемых решений утверждают, что это не так, поскольку хакерам по силам взломать защиту, организованную с помощью коммерческих продуктов. В то же время, они отмечают, что свободно распространяемые инструментальные средства защиты проще настроить, поскольку имеются их исходные тексты.

Файл 7f5ddbf668be432bbaf47f6ed1d47c4b/sape.php не найден!

Известные свободно распространяемые проекты

admin — Thu, 13 May 2010 05:04:35 +0000

Рассмотрим некоторые важные свободно распространяемые инструментальные средства защиты.
Kerberos
Технология аутентификации и шифрования Kerberos (http://www.mit.edu/kerberos/www) была разработана в Массачусетском технологическом институте и «выпущена в свет» в 1987 году. С того момента эта технология превратилась в стандарт, которым занимается рабочая группа Common Authentication Technology Working Group, сформированная при Internet Engineering Task Force.
Свободно распространяемые версии Kerberos предлагаются для платформ Macintosh, Unix и Windows. Коммерческие реализации созданы Microsoft, Oracle, Qualcomm и рядом других компаний. Microsoft вызвала критику специалистов, работающих на этом рынке, интегрировав в Windows 2000 версию Kerberos, не в полной мере соответствующую стандарту.
Snort
Snort (www.snort.org) считается одним из наиболее популярных свободно распространяемых инструментальных средств защиты. По оценкам Марти Реуша, ведущего разработчика Snort, данным приложением пользуется от 250-500 тыс. человек. Это программное обеспечение имеет группу активных сторонников и весьма детальную документацию.
Snort — упрощенная система обнаружения сетевых вторжений, способная выполнять в реальном времени анализ трафика и пакетов, зарегистрированных в IP-сетях. Выпущенная в 1998 году, Snort помогает выявить потенциальные нарушения защиты, выполняя протокольный анализ пакетов, а также поиск с сопоставлением по шаблону в информационном наполнении. Эта система способна выявлять работу зондов и обнаруживать различные нарушения защиты, такие как переполнение буфера, скрытое сканирование портов и атаки с использованием общего интерфейса шлюзов.
Snort работает на различных платформах, в том числе на FreeBSD, Linux, MacOS, Solaris и Windows.
Snare
System Intrusion Analysis and Reporting Environment представляет собой размещаемую на хосте систему обнаружения вторжений, предназначенную для систем с Linux. Альянс InterSect Alliance (www.intersectalliance.com), который объединяет консультантов, специализирующихся на вопросах защиты, разработала и выпустила Snare в ноябре 2001 года.
Snare использует технологию динамически загружаемых модулей для взаимодействия с ядром Linux во время исполнения. За счет использования только тех модулей, которые необходимы для выполнения конкретной задачи, Snare снижает нагрузку на хостовую систему. А поскольку Snare загружается динамически, пользователям не нужно перезагружать систему или перекомпилировать ядро, как это бывает с некоторыми усовершенствованиями Linux.
Tripwire
Спаффорд из университета Пурди и тогдашний студент Джин Ким разработали систему обнаружения вторжений Tripwire Academic Source, которую с момента ее выпуска в 1992 году загрузили более миллиона пользователей. Компания Tripwire (www.tripwire.com), которую основал Ким, позже полностью переделала эту программу, превратив ее в коммерческий продукт с закрытыми исходными текстами. Tripwire предлагает бесплатную версию для Linux, но продает коммерческие версии для платформ Unix и Windows NT.
Nessus
Nessus (http://www.nessus.org) — сканер уязвимых мест в защите, позволяющий выполнять проверку защиты Web-сайта удаленным образом. Разработчики Nessus выпустили этот инструментарий в апреле 1998 года. Nessus поддерживает серверы, которые удовлетворяют требованиям POSIX и работают с клиентами Java, Win32 и X11.
Saint
Security Administrators Integrated Network Tool — сканер уязвимых мест защиты (см. рис. 1), который работает с большинством разновидностей Unix, включая Linux. Сканер создан на базе свободно распространяемого инструментария для анализа дефектов защиты Satan (Security Administrator’s Tool for Analyzing Networks). Компания Saint (www.saintcorporation.com) отказалась от более старых версий сканера, но продает новейший его вариант, а также SAINTwriter для генерации настраиваемых отчетов и SAINTexpress для автоматического обновления сигнатур дефектов защиты.
Saint — сканер, который проверяет системы на наличие уязвимых мест. С учетом конкретной конфигурации механизм контроля определяет, может ли Saint (и до какой степени) сканировать набор сетевых узлов. Подсистема выбора целей создает список атак для тестов, запускаемых на сканируемых узлах. Подсистема сбора данных собирает факты о результатах работы зондов. С помощью базы правил механизм взаимодействий обрабатывает факты, при этом собирая данные и определяя новые адресуемые хосты, зонды и факты. Подсистема результатов отображает собранные данные как гиперпространство, с которым пользователи могут работать с помощью браузера
Netfilter и iptables
Группа разработчиков свободно распространяемого программного обеспечения подготовила Netfilter и iptables для интеграции в ядро Linux 2.4. Netfilter (www.netwilter.org) дает пользователям возможность отслеживать обратные связи, ассоциированные с вторжением в сеть, тем самым позволяет выявлять тот факт, что система подвергается атаке. С помощью iptables (www.iptables.org) пользователи могут определять действия, которые должна предпринять система в случае обнаружения атаки.
T.Rex
T.Rex (www.opensourcefirewall.org) — это свободно распространяемый программный межсетевой экран, который компания Freemont Avenue Software выпустила в 2000 году. Он работает на платформах AIX, Linux и Solaris, и сейчас его применяют около 31 тыс. пользователей.
Перспективы
Широкому применению свободно распространяемых систем защиты мешает целый ряд сложностей и проблем.
Боязнь открытых текстов
Некоторые компании опасаются приобретать свободно распространяемое программное обеспечение, поскольку оно разработано не в одной определенной компании и не поддерживается программными средствами, которые они привыкли приобретать. В силу этого, как прогнозирует Девид Московиц, директор по технологиям консалтинговой компании Productivity Solutions, многие свободно распространяемые средства начинают использоваться лишь после того, как его по собственной инициативе опробуют ИТ-специалисты и постепенно внедрят его на предприятии.
Страх «черного хода»
Поскольку исходные тексты открыты, некоторые компании опасаются, что хакеры будут создавать «черные ходы» в свободно распространяемом инструментарии, через которые они смогут проникать в системы. Робичаукс по этому поводу заметил: «Это одно из самых серьезных препятствий на пути широкого распространения открытого программного обеспечения. Однако вовсе не значит, что такое опасение обоснованно и имеет под собой реальную почву. Тем не менее, некоторые компании требуют, чтобы все свободно распространяемое программное обеспечение, используемое в их подразделениях, было создано «с нуля», без каких-либо готовых или загруженных пакетов».
Сертификация
Сертификация продукта уполномоченными государственными организациями может дать серьезный импульс к его широкому применению. Правительство США требует, чтобы системы защиты и другие продукты, связанные с информационными технологиями, проходили проверку на соответствие Federal Information Processing Standard, осуществляемую Национальным институтом по стандартам и технологии (NIST), прежде чем американским госучреждениям можно будет их приобрести.
Стоимость тестирования на соответствие может варьироваться от десятков до сотен тысяч долларов. Все это может помешать организациям, создающим свободно распространяемое обеспечение (и имеющими, как правило, весьма скромный бюджет), сертифицировать свои технологии. Фактически, как отметила Аннабел Ли, директор программы NIST Cryptographic Module Validation Program, ей не известен ни один свободно распространяемый продукт, прошедший сертификацию.
Удобство использования и управления
Производители свободно распространяемого программного обеспечения, как правило, первостепенное внимание уделяют функциональности, а не удобству использования и управления. Как следствие, такие приложения иногда сложно развертывать и ими нелегко управлять. Например, как отметил Реуш, «установка Snort и управление этой системой может оказаться довольно трудным, особенно, если у вас нет достаточного опыта в написании инструментальных средств для Unix».
Пескаторе так объяснил сложившуюся ситуацию: «В случае со свободно распространяемыми инструментальными средствами большая часть знаний накапливается в головах людей, их использующих, в то время как производители коммерческих решений вынуждены помещать эти знания в продукт. Я не думаю, что когда-либо свободно распространяемые инструментальные средства защиты станут массовыми. Большинство людей предпочитают более простой подход».
Все это формирует небольшой, но быстро растущий рынок для интеграторов систем защиты и поставщиков услуг, таких как Guardent, Redsiren и Silico Defense. Эти компании могут предлагать инструментарий управления и, тем самым, скрыть от пользователей сложность свободно распространяемых продуктов, а также предоставлять гарантированный уровень обслуживания и поддержки.
Astaro стремится создать полную инфраструктуру защиты, которая объединяет многочисленные свободно распространяемые технологии в единый, простой в использовании интерфейс. Эрнст Келтинг, президент американского отделения Astaro, подчеркнул: «Пользователи не хотят работать с программным обеспечением, для которого не предлагаются услуги поддержки. Мы берем на себя эту нагрузку и освобождаем клиентов от возможных трудностей».
Симон Перри, вице-президент по системам защиты компании Computer Associates, считает, что уровень использования свободно распространяемых средств защиты будет расти, хотя и не в крупных корпорациях. По его словам, организации, которые разрабатывают свободно распространяемое программное обеспечение, не имеют достаточных ресурсов или инструментальных средств управления, необходимых для интеграции, требуемой для обеспечения защиты при использовании множества различных платформ, как это происходит в крупных компаниях.
Интересной тенденцией на рынке свободно распространяемых систем защиты может стать разработка бизнес-моделей, которые объединяют открытые тексты со специализированным аппаратным обеспечением, коммерческими инструментальными средствами переднего плана и/или гарантиями уровня обслуживания. Например, Бреди отметил, что производители могли бы объединить свои знания аппаратной оптимизации со свободно распространяемой технологией для создания таких продуктов, как сетевые приставки, поддерживающие защищенные быстрые соединения.
Кокс подчеркнул, что «темпы внедрения свободно распространяемых исходных текстов будут расти, поскольку модель разработки поддерживает быстро меняющуюся структуру Internet и защиты. Оперативной реакции на требования к функциональности, новые атаки и исправление ошибок трудно добиваться в среде с закрытыми исходными текстами».
Тем не менее, Пескаторе считает, что доля доходов от всех продуктов защиты, получаемая от продажи коммерческих услуг поддержки свободно распространяемых инструментальных средств к 2007 году вырастет с 1% всего лишь до 2%. В частности, это объясняется тем, что многие компании будут использовать бесплатный инструментарий, а не коммерческие пакеты с открытыми исходными текстами.
Одна из опасностей, связанных с инструментарием, распространяемым в исходных текстах, связана с тем, что пользователи могут поддаться ложному чувству полной безопасности, рассчитывая на то, что этот код анализировало множество специалистов. По мнению Дэна Гира, разработчика Kerberos и директора по технологии компании @Stake, предлагающей услуги по организации защиты, «предоставление продукта в исходных текстах не означает, что в нем нет ошибок, просто вероятность наличия ошибки в таком продукте несколько меньше. Но это не панацея».

Файл 7f5ddbf668be432bbaf47f6ed1d47c4b/sape.php не найден!

Личная безопасность

admin — Thu, 13 May 2010 05:04:35 +0000

Как только речь заходит о средствах личной безопасности, то первое, что приходит на ум — это бронежилет, защищающий его владельца от многих опасностей. Его применение в некоторых случаях ни у кого не вызывает сомнение и многие владельцы ни разу не пожалели о затраченных средствах. Ведь речь идет об их жизни. Но почему-то никто не вспоминает о средствах «личной» безопасности для своих компьютеров, на которых зачастую обрабатывается важная и конфиденциальная информация, ценность которой может измеряться десятками и сотнями тысяч долларов. А такие средства существуют — это персональные межсетевые экраны, которым и посвящена эта статья.
Первое, о чем я хотел бы сказать, это о произошедших изменениях в структуре корпоративных сетей. Если еще несколько лет назад границы таких сетей можно было четко очертить, то сейчас это практически невозможно. Раньше такая граница проходила через все маршрутизаторы или иные устройства (например, модемы), через которые осуществлялся выход во внешние сети. В удаленных офисах организации ситуация была схожа. Однако сейчас полноправным пользователем защищаемой межсетевым экраном сети является сотрудник, находящийся за пределами защищаемого периметра. К таким сотрудникам относятся пользователи, работающие на дому или находящиеся в командировке. Требуется ли им защита? Несомненно. Но все межсетевые экраны построены так, что защищаемые пользователи и ресурсы должны находиться под сенью их защиты, т.е. с внутренней стороны, что является невозможным для мобильных пользователей. Чтобы устранить эту проблему было предложено два подхода — виртуальные частные сети (virtual private network, VPN) и распределенные межсетевые экраны (distributed firewall). Первое решение, которое не раз освещалось на страницах изданий компании «Гротек», заключается в установке на удаленный узел специального программного обеспечения, которое позволяло получать доступ к защищаемым МСЭ ресурсам по защищенному каналу. Примером такого решения можно назвать абонентский пункт «Континент-К», разработанный НИП «Информзащита» (www.infosec.ru). Другой пример — VPN-1 SecuRemote компании Check Point Software (www.checkpoint.com), являющейся мировым лидером (по данным компании Dataquest — 52% мирового рынка средств построения VPN) в области разработки средств построения VPN. Такая схема, похожая на осьминога, раскинувшего свои щупальца, обладала только одним недостатком — сам удаленный узел был подвержен атакам. Установленный на него троянский конь мог дать возможность проникнуть злоумышленнику через межсетевой экран и по защищенному каналу. Ведь VPN шифрует и обычный, и несанкционированный трафик, не делая между ними различий. Тогда-то и родилась идея распределенного межсетевого экрана, который являлся мини-экраном, защищающим не всю сеть, а только отдельный компьютер. Примерами такого решения является RealSecure Server Sensor и BlackICE Defender компаний Internet Security Systems (www.iss.net) и Network ICE (www.networkice.com), которая была приобретена 28 апреля 2001 года компанией ISS. Это решение понравилось и домашним пользователям, которые наконец-то получили возможность защиты своих компьютеров от рыскающих в сети злоумышленников. Но, т.к. многие функции распределенного МСЭ (например, централизованное управление) для домашних пользователей были лишними, то родилась новая технология, получившая название «персонального межсетевого экрана» (personal firewall), яркими представителями которых являются ZoneAlarm и Norton Internet Security (носивший ранее имя AtGuard) компаний ZoneLabs (www.zonelabs.com) и Symantec (www.symantec.com) соответственно. Компания Check Point Software оказалась впереди и здесь, предложив системы VPN-1 SecureClient и VPN-1 SecureServer, которые не только защищают от внешних атак компьютеры, на которых они установлены, но и обеспечивают защиту трафика, передаваемого за пределы данного узла (т.е. организуя VPN). Именно такая интеграция сделала подвластными межсетевым экранам сети с нечетко очерченными границами.
В чем отличие персонального межсетевого экрана от распределенного? Главное отличие одно — наличие функции централизованного управления. Если персональные межсетевые экраны управляются только с того компьютера, на котором они установлены, и идеально подходят для домашнего применения, то распределенные межсетевые экраны могут управляться централизованно, с единой консоли управления, установленной в главном офисе организации. Такие отличия позволили некоторым производителям выпускать свои решения в двух версиях — персональной (для домашних пользователей) и распределенной (для корпоративных пользователей). Так, например, поступила компания Internet Security Systems, которая предлагает персональный межсетевой экран BlackICE Defender и распределенный межсетевой экран BlackICE Agent (www.infosec.ru/produkt/adapt/ice_sentry/ice_agent.html).
Какими функциями должен обладать надежный персональный МСЭ? Сразу необходимо сказать, что далее я, упоминая персональные МСЭ буду иметь ввиду и распределенные МСЭ. Во-первых, этот экран не должен быть пассивной программой, которая только и делает, что блокирует входящий на компьютер трафик по заданным критериям, к которым обычно относятся адрес и порт источника. Злоумышленники давно научились обходить такие простые защитные механизмы и в сети Internet можно найти большое число программ, которые могут проникнуть через многие традиционные защитные барьеры. Примером такой программы является троянский конь SubSeven 2.2, позволяющий выполнять большое число функций на скомпрометированном компьютере без ведома его владельца. Чтобы защититься необходим инструмент, который позволит проводить более глубокий анализ каждого сетевого пакета, направленного на защищаемый узел. Таким инструментом является система обнаружения атак, которая в трафике, пропущенном через межсетевой экран, обнаруживает следы хакерской деятельности. Она не доверяет слепо таким разрешительным признакам, как адрес и порт источника. Как известно протокол IP, на основе которого построен современный Internet, не имеет серьезных механизмов защиты, что позволяет без труда подменить свой настоящий адрес, тем самым делая невозможным отслеживание злоумышленника. Мало того, хакер может «подставить» кого-нибудь другого, заменив свой адрес на адрес подставного лица. И, наконец, для некоторых атак (например, «отказ в обслуживании») адрес источника вообще не нужен и по статистике в 95% случаев этот адрес хакером изменяется. Можно привести хорошую аналогию. Персональный межсетевой экран — это охранник в здании, который выписывает пропуска всем посетителям. В такой ситуации злоумышленник может без труда пронести в здание оружие или бомбу. Однако если на входе поставить металлодетектор, то ситуация в корне меняется и злоумышленнику уже не так легко пронести в защищаемую зону запрещенные предметы.
К сожалению приходится отметить, что немногие межсетевые экраны обладают встроенной системой обнаружения атак. Одним из таких решений является системы BlackICE Defender и BlackICE Agent компании Internet Security Systems. Любой из компонентов семейства BlackICE содержит два основных модуля, осуществляющих обнаружение и блокирование несанкционированной деятельности — BlackICE Firewall и BlackICE IDS. BlackICE Firewall отвечает за блокирование сетевого трафика с определенных IP-адресов и TCP/UDP-портов. Предварительное блокирование трафика по определенным критериям позволяет увеличить производительность системы за счет снижения числа «лишних» операций на обработку неразрешенного трафика. Настройка данного компонента может осуществлять как вручную, так и в автоматическом режиме. В последнем случае, реконфигурация происходит после обнаружения несанкционированной деятельности модулем BlackICE IDS. При этом блокирование трафика может осуществляться на любой промежуток времени. BlackICE Firewall работает напрямую с сетевой картой, минуя встроенный в операционную систему стек протоколов, что позволяет устранить опасность от использования многих известных уязвимостей, связанных с некорректной реализацией стека в ОС. BlackICE IDS отвечает за обнаружение атак и других следов несанкционированной деятельности в трафике, поступающем от модуля BlackICE Firewall. Модуль BlackICE IDS основан на запатентованном алгоритме семиуровневого анализа протокола.
Следующим механизмом, которым должен обладать эффективный персональный межсетевой экран, является защита от опасного содержимого, которое можно получить из Internet. К такому содержимому можно отнести апплеты Java и управляющие элементы ActiveX, код ShockWave и сценарии JavaScript, Jscript и VBScript. С помощью этих, с одной стороны незаменимых и удобных технологий, можно выполнить большое число несанкционированных действий на компьютере. Начиная от внедрения вирусов и установки троянских коней и заканчивая кражей или удалением всей информации. Также персональные межсетевые экраны должны защищать от cookies, которые могут раскрыть конфиденциальную информацию о владельце компьютера.
В некоторые персональные МСЭ (например, в Norton Internet Security компании Symantec) встроены антивирусные системы, которые помимо обнаружения троянцев могут обнаруживать и большое число вирусов, включая макрос-вирусы и Internet-червей.
Т.к. распределенные экраны управляются централизованно, то они должны обладать эффективным механизмом настройки, администрирования и контроля, позволяющим администратору безопасности без дополнительных усилий получить подробную информацию о зафиксированных попытках проникновения на защищаемые узлы. Мало того, в некоторых случаях необходимо инициировать процедуру расследования компьютерного преступления или собрать доказательства для обращения в правоохранительные органы (например, Управление «Р»). И здесь будет незаменимым механизм отслеживания злоумышленника (back tracing), реализованный в некоторых межсетевых экранах. Например, уже упоминаемые BlackICE Agent и Defender, позволяют отследить злоумышленника, осуществляющего атаку на защищаемый компьютер, и собрать о хакере следующую информацию:
IP-, DNS-, WINS-, NetBIOS- и MAC-адреса компьютера, с которого осуществляется атака.
Имя, под которым злоумышленник вошел в сеть.
Немаловажной является возможность удаленного обновления программного обеспечения персонального межсетевого экрана. В противном случае администратору приходилось бы самостоятельно посещать каждого из владельцев компьютера и обновлять его защитное ПО. Представьте, какую бурю возмущений это вызвало бы у владельцев компьютеров, которых отрывали бы от своей работы. Удаленное же и, главное, незаметное для владельца компьютера, обновление (включая и обновление сигнатур атак и вирусов) снимает эту проблему и облегчает нелегкий труд администратора безопасности. Осуществляя удаленное управление, не стоит забывать и о защите трафика, передаваемого между центральной консолью и удаленными агентами. Злоумышленник может перехватить или подменить эти команды, что нарушит защищенность удаленных узлов.
В заключение хочу сказать, что правильный выбор персонального или распределенного межсетевого экрана позволит повысить защищенность компьютеров, которые при обычных условиях остаются незащищенными и могут служить точкой проникновения в корпоративную сеть. А чтобы можно было из чего выбирать, я хотел бы привести список персональных межсетевых экранов, которые известны в России:
BlackICE Agent и Defender от компании Internet Security Systems (www.infosec.ru/produkt/adapt/ice_sentry/ice_agent.html).
AtGuard Personal Firewall от компании WRQ, который был приобретен компанией Symantec и встроен в ее семейство Norton Internet Security (www.symantec.com/region/ru/product/npf_index.html).
ZoneAlarm от компании ZoneLabs (www.zonelabs.com).
Outpost Firewall (ранее носивший имя Sphere) от компании Agnitum (www.agnitum.com/products/outpost/).
Также упоминаются и другие решения. Например, PGP 7.0 (www.pgp.com), Sygate Personal Firewall (www.sygate.com), ConSeal Private Desktop (www.mcafee.com), переименованный в McAfee Personal Firewall, или Tiny Personal Firewall (www.tinysoftware.com/russia/).

Файл 7f5ddbf668be432bbaf47f6ed1d47c4b/sape.php не найден!

Какой антивирус лучше?

admin — Thu, 13 May 2010 05:04:35 +0000

Какой антивирус самый лучший? Ответ будет — «любой», если на вашем компьютере вирусы не водятся и вы не пользуетесь вирусо-опасными источниками информации. Если же вы любитель новых программ, игрушек, ведете активную переписку по электронной почте и используете при этом Word или обмениваетесь таблицами Excel, то вам все-таки следует использовать какой-либо антивирус. Какой именно — решайте сами, однако есть несколько позиций, по которым различные антивирусы можно сравнить между собой.
Качество антивирусной программы определяется, на мой взгляд, по следующим позициям, приведенным в порядке убывания их важности:
1. Надежность и удобство работы — отсутствие «зависаний» антивируса и прочих технических проблем, требующих от пользователя специальной подготовки.
2. Качество обнаружения вирусов всех распространенных типов, сканирование внутри файлов-документов/таблиц (MS Word, Excel, Office97), упакованных и архивированных файлов. Отсутствие «ложных срабатываний». Возможность лечения зараженных объектов. Для сканеров (см. ниже), как следствие, важной является также периодичность появления новых версий (апдейтов), т.е. скорость настройки сканера на новые вирусы.
3. Существование версий антивируса под все популярные платформы (DOS, Windows, Windows95, Windows NT, Novell NetWare, OS/2, Alpha, Linux и т.д.), присутствие не только режима «сканирование по запросу», но и «сканирование на лету», существование серверных версий с возможностью администрирования сети.
4. Скорость работы и прочие полезные особенности, функции, «припарки» и «вкусности».
Надежность работы антивируса является наиболее важным критерием, поскольку даже «абсолютный антивирус» может оказаться бесполезным, если он будет не в состоянии довести процесс сканирования до конца — «повиснет» и не проверит часть дисков и файлов и, таким образом, оставит вирус незамеченным в системе. Если же антивирус требует от пользователя специальных знаний, то он также окажется бесполезным — большинство пользователей просто проигнорирует сообщения антивируса и нажмут [OK] либо [Cancel] случайным образом, в зависимости от того, к какой кнопке ближе находится курсор мыши в данный момент. Ну а если антивирус будет чересчур часто задавать сложные вопросы рядовому пользователю, то, скорее всего, он (пользователь) перестанет запускать такой антивирус или даже удалит его с диска.
Качество детектирования вирусов стоит следующим пунктом по вполне естественной причине. Антивирусные программы потому и называются антивирусными, что их прямая обязанность — ловить и лечить вирусы. Любой самый «навороченный» по своим возможностям антивирус бесполезен, если он не в состоянии ловить вирусы или делает это не вполне качественно. Например, если антивирус не детектирует 100% какого-либо полиморфного вируса, то при заражении системы этим вирусом такой антивирус обнаружит только часть (допустим 99%) зараженных на диске файлов. Необнаруженными останется всего 1%, но когда вирус снова проникнет в компьютер, то антивирус опять обнаружит 99%, но уже не от всех файлов, а только от вновь зараженных. В результате жаражено на диске будет уже 1.99%. И так далее, пока все файлы на диске не будут заражены при полном молчании антивируса.
Поэтому качество детектирования вирусов является вторым по важности критерием «лучшести» антивирусной программы, более важным, чем «многоплатформенность», наличие разнообразного сервиса и т.д. Однако если при этом антивирус с высоким качеством детектирования вирусов вызывает большое количество «ложных срабатываний», то его «уровень полезности» резко падает, поскольку пользователь вынужден либо уничтожать незараженные файлы, либо самостоятельно производить анализ подозрительных файлов, либо привыкает к частым «ложным срабатываниям», перестает обращать внимание на сообщения антивируса и в результате пропускает сообщение о реальном вирусе.
«Многоплатформенность» антивируса является следующим пунктом в списке, поскольку только программа, рассчитанная на конкретную операционную систему, может полностью использовать функции этой системы. «Неродные» же антивирусы часто оказываются неработоспособными, а иногда даже разрушительными. Например, вирус «OneHalf» поразил компьютер с установленными на нем Windows95 или WindowsNT. Если для расшифрования диска (данный вирус шифрует сектора диска) воспользоваться DOS-антивирусом, то результат может оказаться плачевным: информация на диске окажется безнадежно испорченной, поскольку Windows 95/NT не позволит антивирусу пользоваться прямыми вызовами чтения/записи секторов при расшифровке секторов. Антивирус же, являющийся Windows-программой, справляется с этой задачей без проблем.
Возможность проверки файлов «на лету» также является достаточно важной чертой антивируса. Моментальная и принудительная проверка приходящих на компьютер файлов и вставляемых дискет является практически 100%-й гарантией от заражения вирусом, если, конечно, антивирус в состоянии детектировать этот вирус. Очень полезными являются антивирусы, способные постоянно следить за «здоровьем» серверов — Novell NetWare, Windows NT, а в последнее время, после массового распространения макро-вирусов, и за почтовыми серверами, сканируя входящую/исходящую почту. Если же в серверном варианте антивируса присутствуют возможность антивирусного администрирования сети, то его ценность еще более возрастает.
Следующим по важности критерием является скорость работы. Если на полную проверку компьютера требуется нескольно часов, то вряд ли большинство пользователей будут запускать его достаточно часто. При этом медленность антивируса совсем не говорит о том, что он ловит вирусов больше и делает это лучше, чем более быстрый антивирус. В разных антивирусах используются различные алгоритмы поиска вирусов, один алгоритм может оказаться более быстрым и качественным, другой — медленным и менее качественным. Все зависит от способностей и профессионализма разработчиков конкретного антивируса.
Наличие всяческих дополнительных функций и возможностей стоит в списке качеств антивируса на последнем месте, поскольку очень часто эти функции никак не сказываются на уровне «полезности» антивируса. Однако эти дополнительные функции значительно упрощают жизнь пользователя и, может быть, даже подталкивают его запускать антивирус почаще.

Файл 7f5ddbf668be432bbaf47f6ed1d47c4b/sape.php не найден!

Как определить, что у меня троян?

admin — Thu, 13 May 2010 05:04:35 +0000

конецформыначалоформыСижу за решеткой в темнице сырой, сижу, не пойму троян – кто такой ? Только я обрадовался тому, что у меня почта заработала, вдруг бац ! Получаю от друга письмо с содержанием на чистом английском языке (хотя общаемся мы с ним только по руссски) о том, что он сделал первую свою игру, и сразу шлет мне для тестирования. Что это ?
Прежде всего пугает два факта. Письмо от человека BLIKB, хотя IР-ишник письма пренадлежит IGOR’ю. Оба мои товарищи. Также конечно, меня чайника (хе-хе) удивило то, что первая игра занимает аж 120 килобайт. Ну может на Дельфи писал.. Али картинку с расширением 1600х1200 вставил (и такое было). Все-равно странно, но руки чешуться. Запустить охота ! Ан нет ! Я хитрый ! По гороскопу обезьна говорят. Я сохраняю файл чтобы его обследовать. Называветься он понятно дело – install.exe. Тут и началось…
Так как стоит у меня ТНЕ ВАТ. БэтМен сохранил все нормально. ПОтом я его попробовал открыть WinRar’ом. И пожалел. Не архив это вовсе. А это удар ниже пейджера! Самый обычный ЕХЕшный файл. Который еще и глюканутый к тому же. (или его специально глюканули, чтобы как раз под меня был..) Потомучто насоздавал своих модификаций у меня в корне (на С:) аж SCR, EXE, RAR, PIF и еще чего-то… Они что думали, что я брошись сломя голову запускать все это , чтобы увидеть игрульку ? Старались видать меня подловить.. Ну я сразу все и постирал, прямо тайдом, чтобы не дай бог… Потом смотрю, что-то FAR грузиться с двух попыток стал. И точно – он заражен! Выяснилось, что еще и WinRar заражен ! Но что самое странно – больше ничего. Видать знали, бип, чем я (да и все) пользуються. Слава богам, что на святой ВАТ не полезли..
Теперь как избавиться от него. Если убрать из реестра из автозагрузки его, то он тут же пропишет себя назад. Надо зайти в САЙС (Soft-Ice) инабрать комманду PROC , которая покажет какие ЕХЕшники сечас запущены. Там будет Winkxxx, где ххх – любые символы, да-да, троян постоянно изменяет их. Почему троян ? Потомучто в теле его (которое в Системной директории находиться) присутствуют в открытую строки HELO QUIT DATA FROM RCPT — что говрит о том, что оно (троян) отсылает письмо. Да и тело это скрытое! Я вот DN пользуюсь, он все кажет, и тело и ножки..
Кроме того, я понимаю, что ни BLIKB, ни IGOR послать письмо такое мне не могли, а значит троян уже автивен у них обоих, и они ничего о нем не знают. Троян взял их имена и мой адрес из адресной книги. Конечно, слишкой он уж большой и сразу в глаза бросаеться… Да и потом ничего не делает, хотя бы нарисовал что-ли что-нето.. все-таки Nice_game… Хоть бы мой любимый ТЕТРИС вставили.. Я бы тока через пару дней заметил, что это троян.
Но благо, пароль доступа к провайдеру у меня простой, и состоит всего из трех букв, да нет не то, что ты подумал, а просто MTS. Дык я его сам могу хоть рассылками всем кому надо слать. Все равно у меня не пароль важен, а то, что я звоня с своего телефона.. Страшнее тут, то что пароли от ящиков украдут, хотя подобрать их куда легче у меня, потомучто я из всех слов – только до десяти считать умею.. Вот такой я денормальный.
Потом я пошел в САЙС набрал комманду BPRW WINKxxx и САЙС тут же вылетел в адресное пространство трояна, даже не стал смотреть что он делает, сразу набрал EXIT (в САЙСЕ), и вирус закончился, точнее я его закончил, потом контрольный закрыть и все. (если в САЙС опять вылетел, то введи там FAULTS OFF – вылетать в Винду будешь, а не в САЙС). Потом удалил его (прямо под Виндой) из системной директории, удалил FAR, WINRAR. Установил их поновой. И все нормально ! От трояна избавился. Вот перечень того, что он попытался сделать:
1) заражение только FAR.exe WINRAR.exe
2) изменение конца имени заголовка
3) постоянная запись в реестр-автозагрузка
4) перемещение себя в СИСТЕМ директорию
5) зачем-то в корень С бросает модификации..?
6) заголовок ЕХЕшника намерено испорчен, но определить на каком языке написан троян несложно. Это был VC6++ (прямо так в файле и написано).
7) похоже что сам этот ЕХЕ собой и заражен. То есть дабавлена новая секция в ЕХЕшник по смещению 10000h, также происходит и заражение WinRar и Far..
8) Код и данные совершенно не зашифрован. Шифрован только МЫЛ, куда пароли шлются. Умно, но шифр слабый. Короче просто от HEX – виюивера спрятан и все.
9) судя по всему, кто-то неумело воспользовался чужим трояном. Люди читайте инструкции внимательнее. Бесит ведь не троян, а его размер !
10) К тому же он прописывает себя в шаблон WORD’a ! При выполнении ЛЮБОЙ комманды вызываеться подпрограмма, которая узнает какой-то пароль. Я бы этого и не узнал, если бы не глюк в скрипте. Вылетела ошибка при сохранении в HTML формате (трояна-то уже нет — ему писать некуда, вот и ошибка). Мда.. столько трюкав, а чего ради..
Выводы: первый раз мне бросили троян, да и тот – глюковатый весь, но ЭТО НЕ повод бросать мне ваших троянов! Это повод к тому, чтобы быть более внимательным к тому, что ты запускаешь, а не от кого ты запускаешь. Еще это повод к тому, чтобы оптимизировать собственный трояны! Шифровать их. Минимизировать. Не удивлюсь, если кто-то попадеться на троян написаный на Дельфи, который занимает 1,5 мега, главное тут – социальная победа – заставить юзвера запустить ЕХЕшник !

Файл 7f5ddbf668be432bbaf47f6ed1d47c4b/sape.php не найден!

Отслеживание загрузки шпионских программ в среде Windows

admin — Thu, 13 May 2010 05:04:34 +0000

конецформыначалоформыОтслеживание загрузки шпионских программ в системе Windows
Последнее время в Интернете часто встречаются вопросы о том,
что при использовании Internet Explorer происходит смена стартовой страницы,
при загрузке по ссылке открываются совершенно другие страницы. Я сам столкнулся с этим и поэтому изучал проблему на себе.
Первое, что советовали, это воспользоваться спецпрограммами типа Ad-aware и Антивирус Касперского с новыми базами.
Это правильно и на какое-то время решает проблему, но потом опять все повторяется.
Я же решил выяснить вручную где прописывается шпион и как мне кажется выяснил это.
Я не писатель и не журналист, стиль моей писанины прошу не критиковать,
пишу потому что сам не нашел в одном месте подробного описания как и что происходит и решил восполнить это.
Может кому будет интересно.
Итак, встретившись с тем, что ваш Internet Explorer стал загружать не те ссылки,
первое что можно посоветовать — это поставить Ad-aware и Антивирус Касперского с новыми базами и просканировать компьютер.
Но если вы хотите сами решить эту проблему, то моя статья для Вас.
Также я постараюсь описать свои действия подробно, может кому из начинающих пригодится в качестве методики поиска шпионов.
Специалистам это может будет излишне. Они и без меня это знают, поэтому я адресую статью в первую очередь для начинающих.
Для наблюдений я использовал два компьютера: на работе Windows XP без сервис паков
и дома сначала также Windows XP без сервис паков, потом поставил последовательно SP-1 и SP-2.
Когда я впервые столкнулся с этой проблемой, то для выяснения где же что грузиться стал проверять,
во-первых, пункт «Автозагрузка». У меня в нем стоит только загрузка офиса.
Во-вторых, ключи реестра ответственные за автозагрузку программ: это раздел реестра
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
а в нем подразделы Run, RunOnce, RunOnceEx, RunServices, RunServicesOnce.
В этих разделах есть строковые ключи (некоторые разделы пустые), отвечающие за запуск программ.
Название ключа может быть произвольным, а в качестве значения у них указывается запускаемая программа,
если надо — то с параметрами. Обратите внимание на разделы, в названии которых присутствует «Once».
Это разделы, в которых прописываются программы,
запуск которых надо произвести всего один раз после следующей загрузки системы.
Например, при установке новых программ некоторые из них прописывают туда ключи,
указывающие на какие-нибудь настроечные модули, которые запускаются сразу после перезагрузки компьютера.
Такие ключи после своего запуска автоматически удаляются. В параметре
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
я нашел одну программу с именем из произвольного набора букв.
Программа была записана в папке Windows, дата создания оказалась свежая.
Поняв что это шпион, решил потом с ним разобраться.
Владельцам линейки Win98 рекомендую заглянуть еще и в файл win.ini в раздел [windows].
В нем есть два параметра load и run. Если в них записаны какие то программы,
то стоит проверить какие именно и нужны ли они Вам. Кроме этого в реестре есть параметр
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionAppInit_DLLs
В нем можно прописать DLL которые будут грузиться при всех загрузках во все запускаемые Windows процессы,
которые используют библиотеку User32.DLL. У меня этот параметр пустой.
Таким образом все проверив я нашел только одного шпиона в параметре реестра, отвечающего за автозагрузку программ.
Перезагрузив компьютер я сразу вывел на экран диспетчер задач Windows и понаблюдал,
как этот процесс загрузившись при старте системы отработал несколько минут и выгрузился.
Решив что он загружает DLL в память и уже потом она играет роль шпиона, я этот параметр удалил из реестра и из папки Windows.
Проверил ключи реестра:
1. HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionURLDefaultPrefix
Значение параметра по умолчанию должно быть «http://»
2. HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionURLPrefixes
Там должны быть следующие значения параметров:
«ftp»=»ftp://»
«gopher»=»gopher://»
«home»=»http://»
«mosaic»=»http://»
«www»=»http://»
и не должно быть никаких адресов интернет. У меня там стояли url, которые я и удалил.
Решив, что со шпионом покончено, я успокоился и некоторое время работало все нормально,
но через несколько дней повторилось опять то же самое, что было сразу заметно т.к. менялась стартовая страница.
Решив, что работая в Интернете я опять ловлю заразу, я также вручную убрал из автозагрузки появившийся файл,
в имени которого были уже другой набор букв, но сравнение файлов с предыдущим выдавало, что они одинаковы.
Удалил файл и исправил ключи реестра, т.к. там опять прописывались url. Конечно можно было сразу накатить сервис паки,
но я решил наблюдать что же будет дальше. Дома поставил SP-1. Поработав я стал более внимательно следить и обратил внимание,
что в один день произошли изменения страницы и url в то время, когда я не был подключен к Интернету.
Заражение так же произошло и на домашнем компе при работе в Интернет.
До этого он не был заражен из чего я сделал вывод что SP-1 не является защитой от используемой шпионом дыры.
Вывод: шпион так и сидел на рабочем компе; на домашнем только что произошло заражение,
только вносил изменения он видимо не сразу, а через несколько дней, видимо чтобы привлекать меньше внимания.
Если бы он сразу вносил изменения после меня, то я бы раньше сообразил,
что шпион продолжает работать и не прекратил бы поиски. А так я потерял несколько недель,
думая что ловлю шпиона из Интернета, в то время, как он сидел у меня и продолжал работать.
Проверяя компьютер, и, в первую очередь, папку Windows по дате создания файлов,
я обратил внимание на файл qwe7972.ini в папке WindowsSystem32.
Особенность его была в том, что после каждой перезагрузки у него менялась дата и время создания файла,
т.е. при каждой загрузке какая-то программа пишет в файл информацию.
Причем информация в файле была нечитаемая — просто набор символов в строках. По виду похож на другие ini файлы,
т.е. также в файле [разделы], в разделах параметр=значение_параметра, только информация была зашифрована.
Сразу вывод, что информацию пытаются от нас скрыть и, естественно, таким файлом надо заинтересоваться.
Если бы это была система, то были бы обычные записи хотя бы и на английском.
Отсортировав файлы в папке по имени я увидел файл qwe7972.dll.
Естественно напрашивается вывод что именно эта библиотека и пишет инфу в файл,
учитывая что у них одинаковые имена и дата создания DLL свежая, а систему я ставил давно и никаких обновлений не проводил,
во всяком случае на рабочем компе. Поэтому файл с такой датой никак не мог попасть на компьютер в результате моих действий.
Осталось разобраться как библиотека грузится.
Убрав шпиона из автозагрузки (как я уже писал файл с именем из набора букв) и перезагрузившись я увидел,
что время файла qwe7972.ini изменилось, следовательно библиотека продолжает грузиться и работать.
Попробовал удалить библиотеку, но система выдала, что объект заблокирован,
что подтвердило догадку о работе библиотеки в данный момент.
Воспользовавшись программой ProcessInfo из прилагаемых к книге Рихтера «Windows для профессионалов»,
я посмотрел какие процессы грузят эту DLL.
Это оказался EXPLORER и только он ей пользовался (есть и другие проги для просмотра инфы о процессах,
но я в то время читал книгу Рихтера и для опыта использовал его проги).
Я сравнил файл EXPLORER с рабочего компа с заведомо исправным файлом с дистрибутива Windows.
Оказалось, что они одинаковы и на тот момент у меня не возникло версий как же грузится библиотека,
т.е. изменений в заголовок файла не вносились. Перезагрузив комп в безопасном режиме я эту библиотеку удалил.
Из антивирусников на то время я использовал Нортон Антивирус с новыми базами, обновляемыми раз в неделю,
но Нортон на эту библиотеку не ругался. Я поставил Касперского 5 с новыми базами.
В копии этой библиотеки Каспер увидел шпиона.
Около месяца все было нормально пока у меня не был решен один вопрос — как же библиотека грузилась?
Через месяц на рабочем компе я опять увидел проблемы, стартовая страница уже так явно не менялась,
но происходили изменения url в реестре и при работе в IE открывались совсем другие ссылки,
а не те, на которые я нажимал. Идя проторенным путем я обнаружил в папке WindowsSystem32 библиотеку qweХХХХ.dll,
где вместо «ХХХХ» уже другие цифры, а также ini файл с тем же именем. Стоящий на компе Каспер уже не видел в ней шпиона.
Перезагрузившись в безопасном режиме я эту библиотеку удалил. Все опять встало на места. Обновил базы Каспера.
Но мне все не давала покоя мысль как библиотека грузилась. Я проверял все ключи ответственные за автозагрузку программ,
там удалял все подозрительное, и, даже когда там оставались только необходимые программы, которым я доверяю,
библиотека все равно грузилась. Читая литературу я встретил информацию,
что есть и еще возможность загрузки которую я не проверял.
В Internet Explorer встроена технология Browser Object Helper.
Данная технология позволяет встраивать другим программам свои плагины в IE и выполнять какие-то действия во время его работы.
Так, например, поступают качалки. У меня стоит FlashGet.
Данная технология может быть использована и для наблюдения за действиями пользователя в IE
и вместо его действий выполнять свои, в том числе для загрузки других страниц вместо тех на которые хотим перейти по ссылке.
Объекты загружаемые через BHO хранятся в ключе:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects
где перечислены значения с именем равным CLSID загружаемого объекта. В ключе
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID
находим по CLSID раздел с именем этого CLSID. В нем можно посмотреть параметры объекта,
в том числе и путь до загружаемой библиотеки в параметре InprocServer32(По умолчанию)=»путь до загружаемого объекта».
Посмотрев данные ключи я увидел, что через них грузились эти DLL,
и хотя фактически сами файлы я удалил, но ключи ответственные за загрузку остались на месте.
Т.е. EXPLORER не изменялся, он оставался именно тем каким и был при установке WINDOWS, другие проги не грузили библиотеки, использовалось то, что было встроено разработчиками. При загрузке EXPLORER просматривал ключи реестра и подгружал библиотеки. Если какой-то из них не было, то это просто пропускалось не выводя никаких сообщений.
Таким образом можно вручную разобрать что нам надо в данных ключах реестра, а что нет, и удалить шпиона.
А можно воспользоваться спецпрограммами, например, BHO Captor или WinPatrol. Последняя мне особенно понравилась,
так как кроме этого выдает много другой полезной информации по тому что запускается на компе.
Но первая, что хорошо, имеет в комплекте исходные тексты на DELPHI. Во всяком случае, та версия которую я скачал.
По исходникам можно посмотреть используемые ключи реестра.
Вот в принципе и все, что я хотел рассказать в своей статье. Технология загрузки BHO для меня была открытием.
Если о вышеописанных ключах и методах загрузки я слышал ранее и при поиске шпиона их использовал,
то BHO я открыл для себя впервые, и ранее в общедоступных местах я не встречал описания этого,
поэтому решил восполнить пробел.
Конечно, если использовать более новые версии программ для наблюдения за системой и регулярно обновлять базы,
то эти шпионы будут удалены (Каспер также сообщает, что объект DLL заражен и удалить его невозможно, т.к. он заблокирован.
Приходилось перезагружать в безопасном режиме и удалять вручную),
но для меня было интересно разобраться самому где это происходит.
Кроме того хочется сказать слово в пользу установки сервис паков: хотя SP-1 позволял шпиону пролезть в систему,
то SP-2, стоящий у меня дома, пока не дает этого сделать. Видимо дыру, через которую шпион лез на компьютер, он закрывает.
Сейчас подумываю и на работе установить сервис паки.
Еще раз повторюсь — моя статья для начинающих, специалистов прошу меня не ругать.
Возможно Вам это было уже давно известно,
но ранее среди ответов на решение данной проблемы ссылку на технологию BHO я не видел.

Файл 7f5ddbf668be432bbaf47f6ed1d47c4b/sape.php не найден!