HTML (HyperText Mark-Up Language - язык разметки гипертекста) - это форматирующий язык, который описывает, как будет выглядеть страница с гипертекстом, при ее просмотре в браузере. HTML-документ представляет собой текст, для которого указаны специальные коды - теги. Эти коды определяют, как должен выглядеть документ в окне браузера. Когда браузер открывает HTML-документ (т.е. документ в виде гипертекста), он "читает" теги. И в зависимости от тегов браузер представляет документ именно так, как он выглядит на экране.
28) Элементы теории кодирования
В теории передачи информации чрезвычайно важным является решение проблемы кодирования и декодирования, обеспечивающее надежную передачу по каналам связи с ╚ шумом╩.
Передача информации сводится к передаче по некоторому каналу связи символов некоторого алфавита. Однако в реальных ситуациях сигналы при передаче практически всегда могут искажаться, и переданный символ будет восприниматься неправильно. Например, в системе ЭВМ ≈ ЭВМ одна из вычислительных машин может быть связана с другой через спутник. Канал связи в этом случае физически реализуется электромагнитным полем между поверхностью Земли и спутником. Электромагнитные сигналы, накладываясь на внешнее поле, могут исказиться и ослабиться. Для обеспечения надежности передачи информации в таких системах разработаны эффективные методы, использующие коды различных типов.
Рассмотрим одну из таких моделей, связанную с групповыми кодами.
Алфавит, в котором записываются сообщения, считаем состоящим из двух символов {0, 1}. Он называется двоичным алфавитом. Тогда сообщение есть конечная последовательность символов этого алфавита. Сообщение, подлежащее передаче, кодируется по определенной схеме более длинной последовательностью символов в алфавите {0, 1}. Эта последовательность называется кодом или кодовым словом. При приеме можно исправлять или распознавать ошибки, возникшие при передаче по каналу связи, анализируя информацию, содержащуюся в дополнительных символах. Принятая последовательность символов декодируется по определенной схеме в сообщение, с большой вероятностью совпадающее с переданным.
Блочный двоичный (m, n)-код определяется двумя функциями: E: {0, 1} m ╝ {0, 1} n и D: {0, 1} n╝ {0, 1} m, где m ё n и {0, 1} n ≈ множество всех двоичных последовательностей длины n. Функция E определяет схему кодирования, а функция D ≈ схему декодирования. Математическую модель системы связи можно представить в виде схемы:
Здесь ^ T ≈ ╚ функция ошибок╩; E и D выбираются таким образом, чтобы композиция D ° T ° E была функцией, с большой вероятностью близкой к тождественной. Двоичный (m, n)-код содержит 2 m кодовых слов.
Коды делятся на два больших класса: коды с обнаружением ошибок, которые с большой вероятностью определяют наличие ошибки в принятом сообщении, и коды с исправлением ошибок, которые с большой вероятностью могут восстановить посланное сообщение.
29) С развитием современных средств коммуникаций и технологий криптография, то есть способ с помощью определенных алгоритмов кодировать информацию, нашла широкое применение в повседневной жизни – в электронном документообороте, вэб-платежах, каналах связи и др. Но еще древние люди задумывались над тем, как скрыть от посторонних нужные сведения. Одним из первых в истории вспомогательных устройств стала скитала, придуманная в древнегреческой Спарте в виде простой палочки для перестановочного шифрования. По мере развития наук появились математические алгоритмы, но все они оставались уязвимыми, особенно после изобретения в IX веке частотного анализа. Только в XV веке итальянский архитектор и теоретик искусств Леон Баттиста Альберти разработал концепцию полиалфавитных шрифтов, благодаря чему защита перешла на качественно новый уровень. Также он изобрел шифровальную машину в виде двух дисков, на которые были нанесены буквы и цифры.
Впоследствии появились такие шифровальные механизмы, как квадратная доска Тритемиуса, дисковый шифр Томаса Джефферсона и др. В XX веке сложность машин увеличилась на порядок, они стали роторными электромеханическими. Самые известные – Lorenzи Enigma, разные модификации которой использовались Германией в 1917–1945 годах, американская Sigaba и британская Typex. Отметим, что взлом шифра «Энигмы», а также японских военных кодов явился важным вкладом в победу союзников во Второй мировой войне.
Секреты криптографии
Настоящий прорыв в криптографической науке произошел с появлением компьютеров, способных разделять информацию на биты. Такие системы могут быть подвергнуты взлому, но временные затраты в подавляющем большинстве случаев себя не оправдывают. Компьютеры позволили шифровать любые данные, которые представимы в цифровом бинарном виде, в отличие от классических шифров, предназначенных только для написанных текстов. Это привело к непригодности лингвистических методов криптоанализа, так как компьютерные шифры характеризуются работой с последовательностями битов (возможно, сгруппированных в блоки) без традиционных букв и цифр.
Качественные современные шифры обычно не по зубам криптоаналитикам, так как взлом требует все больше усилий. В середине 70-х годов появились асимметричные криптосистемы, которые вообще не требуют передачи секретного ключа сторонами. В книге американцев Уитфилда Диффи и Мартина Хеллмана «Новые направления в современной криптографии», вышедшей в 1976 году, впервые сформулированы принципы подобного обмена шифрованной информацией. Асимметричная криптография открыла несколько новых прикладных направлений, например системы электронной цифровой подписи и электронных денег.
Основные задачи практической криптографии теперь – это защита электронной почты, платежей и частных сетей, создание и использование носителей ключевой информации, электронной цифровой подписи, идентификация и аутентификация. Такое множество задач решается средствами криптографической защиты информации (СКЗИ) как совокупности аппаратных и (или) программных компонентов.
Современные средства защиты информации, применяемые в силовых структурах, относятся к категории электронного аппаратно-программного оборудования. В большинстве случаев оно основано на прямом и обратном криптографических преобразованиях самой информации или доступа к ней. Создание такого оборудования является многогранной проблемой, требующей решения технических, криптоинженерных и организационно-технических вопросов.
30) Атаки методом подбора пароля (Brute force attacks) — так называемые атаки методом «грубой силы». Как правило, пользователи применяют простейшие пароли, например «123», «admin» и т.д. Этим и пользуются компьютерные злоумышленники, которые при помощи специальных троянских программ вычисляют необходимый для проникновения в сеть пароль методом подбора – на основании заложенного в эту программу словаря паролей или генерируя случайные последовательности символов.
Клавиатурные перехватчики (Keyloggers) — вид троянских программ, чьей основной функцией является перехват данных, вводимых пользователем через клавиатуру. Объектами похищения являются персональные и сетевые пароли доступа, логины, данные кредитных карт и другая персональная информация.
Люки (Backdoors) — программы, обеспечивающие вход в систему или получение привилегированной функции (режима работы) в обход существующей системы полномочий. Часто используются для обхода существующей системы безопасности. Люки не инфицируют файлы, но прописывают себя в реестр, модифицируя таким образом ключи реестра.
Сниффинг (Sniffing) — вид сетевой атаки, также называется «пассивное прослушивание сети». Несанкционированное прослушивание сети и наблюдение за данными производятся при помощи специальной не вредоносной программой – пакетным сниффером, который осуществляет перехват всех сетевых пакетов домена, за которым идет наблюдение. Перехваченные таким сниффером данные могут быть использованы злоумышленниками для легального проникновения в сеть на правах фальшивого пользователя.
Фарминг — сравнительно новый вид интернет-мошенничества. Фарминг-технологии позволяют изменять DNS (Domain Name System) записи либо записи в файле HOSTS. При посещении пользователем легитимной, с его точки зрения, страницы производится перенаправление на поддельную страницу, созданную для сбора конфиденциальной информации. Чаще всего такие страницы подменяют страницы банков – как оффлайновых, так и онлайновых.
Бомбы с часовыми механизмами (Time bombs) — одна из разновидностей логических бомб, в которых срабатывание скрытого модуля определяется временем.
DoS-атаки (DoS-attacks) — или атаки на отказ в обслуживании. Популярный у злоумышленников вид сетевых атак, граничащий с терроризмом, заключающийся в посылке огромного числа запросов с требованием услуги на атакуемый сервер с целью выведения его из строя. При достижении определенного количества запросов (ограниченного аппаратными возможностями сервера), последний не справляется с такими запросами, что приводит к отказу в обслуживании. Как правило, такой атаке предшествует спуфинг. DoS-атаки стали широко используемым средством запугивания и шантажа конкурентов.
Почтовые бомбы (Mail bombs) — один из простейших видов сетевых атак. Злоумышленником посылается на компьютер пользователя или почтовый сервер компании одно огромное сообщение, или множество (десятки тысяч) почтовых сообщений, что приводит к выводу системы из строя. В антивирусных продуктах Dr.Web для почтовых серверов предусмотрен специальный механизм защиты от таких атак.
Спуфинг (Spoofing) — вид сетевой атаки, заключающейся в получении обманным путем доступа в сеть посредством имитации соединения. Используется для обхода систем управления доступом на основе IP адресов, а также для набирающей сейчас обороты маскировки ложных сайтов под их легальных двойников или просто под законные бизнесы.
Вишинг (Vishing) — технология интернет-мошенничества, разновидность фишинга, заключающаяся в использовании в злонамеренных целях «war diallers» (автонабирателей) и возможностей Интернет-телефонии (VoIP) для кражи личных конфиденциальных данных, таких как пароли доступа, данные банковских и идентификационных карт и т.д. Потенциальные жертвы получают телефонные звонки, якобы от имени легальных организаций, в которых их просят ввести с клавиатуры телефона, смарт-фона или КПК пароли, PIN-коды и другую личную информацию, используемую в последствии злоумышленниками для кражи денег со счета жертвы и в других преступлениях.
Зомби (Zombies) — маленькие компьютерные программы, разносимые по сети Интернет компьютерными червями. Программы-зомби устанавливают себя в пораженной системе и ждут дальнейших команд к действию.
Руткит (Rootkit) — вредоносная программа, предназначенная для перехвата системных функций операционной системы (API) с целью сокрытия своего присутствия в системе. Кроме того, Rootkit может маскировать процессы других программ, различные ключи реестра, папки, файлы. Rootkit распространяются как самостоятельные программы, так и как дополнительные компоненты в составе иных вредоносных программ – программ-люков (backdoor), почтовых червей и проч.
По принципу своей работы Rootkit условно разделяют на две группы: User Mode Rootkits (UMR) – т.н. Rootkit, работающие в режиме пользователя, и Kernel Mode Rootkit (KMR) – т.н. Rootkit, работающие в режиме ядра.
Работа UMR базируется на перехвате функций библиотек пользовательского режима, а работа KMR базируется на установке в систему драйвера, который осуществляет перехват функций на уровне системного ядра, что значительно усложняет его обнаружение и обезвреживание.
Троянские кони (Троянцы) (Trojan Horses) — вредоносные программы, содержащие скрытый модуль, осуществляющий несанкционированные пользователем действия в компьютере. Эти действия не обязательно будут разрушительными, но они всегда направлены во вред пользователю. Название этого типа атак происходит от известной легенды о деревянной статуе коня, использованной греками для проникновения в Трою.
Троянские программы-вандалы подменяют какую-либо из часто запускаемых программ, выполняют ее функции или имитируют такое исполнение, одновременно производя какие-либо вредоносные действия (стирают файлы, разрушают каталоги, форматируют диски, отсылают пароли или другую конфиденциальную информацию, хранящуюся на ПК пользователя). Некоторые Троянские программы содержат механизм обновления своих компонент из сети Интернет.
Дифейсмент (Defacement) — искажение веб-страниц. Вид компьютерного вандализма, иногда являющийся для хакера забавой, а иногда средством выражения политических пристрастий. Искажения могут производится в какой-то части сайта или выражаться в полной замене существующих на сайте страниц (чаще всего, стартовой).
Логические бомбы (Logic bombs) — вид Троянского коня – скрытые модули, встроенные в ранее разработанную и широко используемую программу. Являются средством компьютерного саботажа.
Такой модуль является безвредным до определенного события, при наступлении которого он срабатывает (нажатие пользователем определенных кнопок клавиатуры, изменение в файле или наступление определенной даты или времени).
Скамминг (Scamming) — от английского «scamming», что означает «жульничество», вид интернет-мошенничества. Заключается в привлечении клиентов, якобы брачными агентствами (на самом деле скам-агентствами), с целью выуживания у них денег брачными аферами.
Фишинг (Phishing) — технология интернет-мошенничества, заключающаяся в краже личных конфиденциальных данных, таких как пароли доступа, данные банковских и идентификационных карт и т.д. При помощи спамерских рассылок или почтовых червей потенциальным жертвам рассылаются подложные письма, якобы от имени легальных организаций, в которых их просят зайти на подделанный преступниками «сайт» такого учреждения и подтвердить пароли, PIN-коды и другую личную информацию, используемую в последствии злоумышленниками для кражи денег со счета жертвы и в других преступлениях.
31) Для обнаружения, удаления и защиты от компьютерных вирусов существуют специальные программы, которые называются антивирусными. Современные антивирусные программы представляют собой многофункциональные продукты, сочетающие в себе как профилактические средства, так и средства лечения вирусов и восстановления данных.
Количество и разнообразие вирусов велико, и чтобы их быстро и эффективно обнаружить, антивирусная программа должна отвечать некоторым параметрам:
· Стабильность и надежность работы.
· Размеры вирусной базы программы (количество вирусов, которые правильно определяются программой): с учетом постоянного появления новых вирусов база данных должна регулярно обновляться.
· Возможность программы определять разнообразные типы вирусов, и умение работать с файлами различных типов (архивы, документы).
· Наличие резидентного монитора, осуществляющего проверку всех новых файлов “на лету” (то есть автоматически, по мере их записи на диск).
· Скорость работы программы, наличие дополнительных возможностей типа алгоритмов определения даже неизвестных программе вирусов (эвристическое сканирование).
· Возможность восстанавливать зараженные файлы, не стирая их с жесткого диска, а только удалив из них вирусы. • Процент ложных срабатываний программы (ошибочное определение вируса в “чистом” файле).
· Кроссплатформенность (наличие версий программы под различные операционные системы).
Классификация антивирусных программ:
· программы-детекторы обеспечивают поиск и обнаружение вирусов в оперативной памяти и на внешних носителях, и при обнаружении выдают соответствующее сообщение. Различают детекторы:
1. универсальные - используют в своей работе проверку неизменности файлов путем подсчета и сравнения с эталоном контрольной суммы
2. специализированные - выполняют поиск известных вирусов по их сигнатуре (повторяющемуся участку кода). Недостаток таких детекторов состоит в том, что они неспособны обнаруживать все известные вирусы.
Детектор, позволяющий обнаруживать несколько вирусов, называют полидетектором. Недостатком таких антивирусных про грамм является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.
· Программы-доктора (фаги) не только находят зараженные вирусами файлы, но и "лечат" их, т.е. удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к "лечению" файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление их версий.
· Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры.
· Программы-фильтры (сторожа) представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:
1. попытки коррекции файлов с расширениями СОМ и ЕХЕ;
2. изменение атрибутов файлов;
3. прямая запись на диск по абсолютному адресу;
4. запись в загрузочные сектора диска;
5. загрузка резидентной программы.
При попытке какой-либо программы произвести указанные действия "сторож" посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако они не "лечат" файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их "назойливость" (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением.
· Программы-вакцины (иммунизаторы) - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, "лечащие" этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. Существенным недостатком таких программ является их ограниченные возможности по предотвращению заражения от большого числа разнообразных вирусов.
32)
Все знают, что для защиты от вредоносных программ нужно использовать антивирусы. Причиной проникновения вирусов на защищенные антивирусом компьютеры, могут быть разные, например:
· антивирус был отключен пользователем;
· антивирусные базы были слишком старые;
· были установлены слабые настройки защиты;
· вирус использовал технологию заражения, против которой у антивируса не было средств защиты;
· вирус попал на компьютер раньше, чем был установлен антивирус, и смог обезвредить антивирусное средство;
· это был новый вирус, для которого еще не были выпущены антивирусные базы
Однако, в большинстве случаев, наличие установленного антивируса, может оказаться недостаточно для полноценной защиты, и что нужно использовать дополнительные методы.
Из-за неправильного использования антивируса, недостатка самого антивируса и работой производителя антивируса, методы защиты можно разделить на два типа – организационные и технические.
Организационные методы направлены на пользователя компьютера, и направлены на то, чтобы изменить поведение пользователя, ведь не секрет, что часто вредоносные программы попадают на компьютер из-за необдуманных действий пользователя. Например: разработка правил работы за компьютером, которые должны соблюдать все пользователи.
Технические методы направлены на изменения в компьютерной системе, и заключаются в использовании дополнительных средств защиты, которые расширяют и дополняют возможности антивирусных программ. Такими средствами защиты могут быть:
· брандмауэры – программы, защищающие от атак по сети;
· средства борьбы со спамом;
· исправления, устраняющие «дыры» в операционной системе, через которые могут проникать вирусы.
Организационные методы
Правила работы за компьютером
Условно, правила можно разделить на две категории:
1. Правила обработки информации.
2. Правила использования программ.
К правилам обработки информации относятся:
· не открывать почтовые сообщения от незнакомых отправителей;
· проверять сменные накопители (дискеты, компакт-диски, flash-накопители) на наличие вирусов перед использованием;
· проверять на наличие вирусов файлы, загружаемые из Интернета;
· работая в Интернет, не соглашаться на не прошеные предложения загрузить файл или установить программу.
Общим местом всех таких правил являются два принципа:
· использовать только те программы и файлы, которым доверяешь, происхождение которых известно;
· все данные, поступающие из внешних источников – с внешних носителей или по сети – тщательно проверять.
Правила использования программ включает такие пункты:
· следить за тем, чтобы программы, обеспечивающие защиту, были постоянно запущены, и чтобы функции защиты были активированы;
· регулярно обновлять антивирусные базы;
· регулярно устанавливать исправления операционной системы и часто используемых программ. Не менять настройки по умолчанию программ, обеспечивающих защиту, без необходимости и полного понимания сути изменений.
Здесь также можно проследить два общих принципа:
· использовать наиболее актуальные версии защитных программ – поскольку способы проникновения и активации вредоносных программ постоянно совершенствуются, разработчики защитных программ постоянно добавляют новые технологии защиты и пополняют базы известных вредоносных программ и атак;
· не мешать антивирусным и другим защитным программам выполнять свои функции – очень часто пользователи считают, что защитные программы неоправданно замедляют работу компьютера, и стремятся за счет безопасности повысить производительность. В результате значительно увеличиваются шансы на заражение компьютера вирусом.
Политика безопасности
На домашнем компьютере пользователь сам устанавливает себе правила, которым он считает нужным следовать. По мере накопления знаний о работе компьютера и о вредоносных программах, он может сознательно менять настройки защиты или принимать решение об опасности тех или иных файлов и программ.
В организациях правила работы с компьютером должны быть общими для всех сотрудников и утверждены официально.
За настройку средств защиты и за управление ими, обычно отвечает специально назначенный сотрудник или группа сотрудников, которые сосредоточены на выполнении одной задачи – обеспечении безопасной работы сети (системный администратор). Выбор параметров защиты осуществляется не на усмотрение данных сотрудников, а в соответствии со специальным документом – политикой безопасности. В этом документе написано, какую опасность несут вредоносные программы, и как от них нужно защищаться.
В частности, политика безопасности должна давать ответы на такие вопросы:
· какие компьютеры должны быть защищены антивирусами и другими программами;
· какие объекты должны проверяться антивирусом – нужно ли проверять заархивированные файлы, сетевые диски, входящие и исходящие почтовые сообщения и т. д.;
· какие действия должен выполнять антивирус при обнаружении зараженного объекта – поскольку обычные пользователи не всегда могут правильно решить, что делать с инфицированным файлом, антивирус должен выполнять действия автоматически, не спрашивая пользователя.
Технические методы
Исправления
Как уже известно, вирусы нередко проникают на компьютеры через уязвимости («дыры») в операционной системе или установленных программах. Причем чаще всего вредоносными программами используются уязвимости операционной системы Microsoft Windows, пакета приложений Microsoft Office, браузера Internet Explorer и почтовой программы Outlook Express.
Для того, чтобы не дать вирусам возможности использовать уязвимость, операционную систему и программное обеспечение нужно обновлять. Для загрузки и установки обновлений в большинстве программ и систем есть встроенные средства. В Windows XP существует специальный компонент Автоматическое обновление, параметры работы которого настраиваются в окне «Свойства системы», доступном через панель управления. C помощью этого компонента можно автоматически загружать исправления для операционной системы Windows XP (Лично я, не рекомендую использовать данный вид обновления. Небезопасен).
Рис. 1. Настройки автоматического обновления Windows XP
Можно также использовать специальную программу для загрузки обновлений – Microsoft Baseline Security Analyzer, доступную для бесплатной загрузки на сайте Microsoft.
Программа также обнаруживает слабые места в настройках операционной системы, такие как пустые или слабые пароли, открытые на запись папки общего доступа, которые использоваться вирусами для распространения, в частности через папки общего доступа по локальной сети.
Однако, для подстраховки нелишним будет следить за новостями на веб-сайтах, посвященных вопросам безопасности.
Брандмауэры
Для того чтобы удаленно воспользоваться уязвимостью в программном обеспечении или операционной системе, нужно установить соединение и передать специально сформированный пакет данных. От попыток проникновения и заражения можно защититься путем запрета определенных соединений. Данную проблему решают программы-брандмауэры.
Брандмауэр – это программа, которая следит за сетевыми соединениями и принимает решение о разрешении или запрещении новых соединений на основании заданного набора правил.
Правило брандмауэра задается несколькими атрибутами:
· приложение – определяет программу, к которой относится правило, так что одни и те же действия могут быть разрешены одним программам и запрещены другим. Например, получать и отправлять почту разумно разрешить только программе – почтовому клиенту;
· протокол – определяет протокол, используемый для передачи данных. Обычно можно выбрать между двумя протоколами TCP и UDP (User Datagram Protocol – протокол, используемый для передачи данных без подтверждения доставки, используется, например, в таких службах как DNS – службе разрешения имен в Интернет, которая сопоставляет символьные адреса и IP-адреса. Поскольку UDP не гарантирует доставку данных, он является более быстрым, но менее надежным протоколом, чем TCP, и как следствие, реже используется);
· адреса – определяет, для соединений с каких адресов или на какие адреса будет действовать правило;
· порт – задает номера портов, на которые распространяется правило;
· направление – позволяет отдельно контролировать входящие и исходящие соединения;
· действие – определяет реакцию на обнаружение соединения, соответствующего остальным параметрам. Реакция, может быть – разрешить, запретить или спросить у пользователя.
Можно создать правило, которое будет запрещать входящие соединения на TCP порт 111 для всех приложений, или разрешать любые исходящие соединения для программы Internet Explorer.
Брандмауэр можно успешно использовать для защиты от вредоносных программ, которые распространяются непосредственно по сети, используя уязвимости в операционной системе, достаточно создать в брандмауэре для этого правило.
Брандмауэр можно использовать и для защиты от атак неизвестных вирусов. В случае домашнего компьютера, использующего сеть только для доступа в Интернет, можно запретить вообще все входящие соединения, и тем самым обезопасить себя от любых атак извне.
Использование брандмауэров для защиты от вредоносных программ, которые состоят в контроле исходящих соединений. После выполнения вредоносной функции, многие троянские программы и черви, стремиться подать сигнал автору вируса. Для воспрепятствования этому, можно настроить брандмауэр на блокирование всех неизвестных соединений: разрешить только соединения от доверенных программ, таких как используемый браузер, почтовый клиент, программа мгновенного обмена сообщений, а все остальные соединения запретить. В таком случае, вредоносная программа, даже попав на компьютер незамеченной, не сможет причинить реального ущерба.
Некоторые вредоносные программы пассивно ожидают соединения на каком-то из портов. При разрешении входящих соединений, автор вредоносной программы сможет через некоторое время обратиться на этот порт и забрать нужную ему информацию или же передать вредоносной программе новые команды. Для пресечения данных действий, брандмауэр должен быть настроен на запрет входящих соединений, на все порты вообще, либо на все, кроме фиксированного перечня портов, используемых известными программами или операционной системой.
Брандмауэр Windows XP – позволяет задавать правила, либо для программы не учитывая порты и протоколы, либо для портов не делая разницы между программами. Для простых случаев этого достаточно и минимальную защиту организовать можно, но часто работать с этим брандмауэром оказывается не очень удобно. Для более удобной работы лучше использовать программы-брандмауэры других производителей, например Kaspersky Anti-Hacker, Agnitum Outpost Firewall, ZoneAlarm и другие.
Рис. 2. Встроенный брандмауэр Windows XP
В последнее время широко распространены универсальные защитные программы, объединяющие возможности брандмауэра и антивируса. Например, Kaspersky Internet Security, Norton Internet Security, McAfee Internet Security и прочие.
Средства защиты от нежелательной корреспонденции
Наиболее многочисленными группами вредоносных программ являются почтовые черви. Львиную долю почтовых червей составляют пассивные черви, которые пытаются обмануть пользователя и заставить его запустить зараженный файл.
Зараженное червем письмо похожее на письма, часто встречающиеся в обычной почте:
· письма от друзей со смешным текстом или картинкой;
· письма от почтового сервера, о том, что какое-то из сообщений не может быть доставлено;
· письма от провайдера с информацией об изменениях в составе услуг;
· письма от производителей зашитых программ с информацией о новых угрозах и способах защиты от них;
· другие подобные письма.
Червь составляет текст писем по заданному автором вируса шаблону, и таким образом, все зараженные этим червем письма будут похожи.
Для решения этой проблемы есть специальные средства – антиспамовые фильтры, которые можно применять и для защиты от почтовых червей.
Несколько методов для фильтрации нежелательной почты:
· черные и белые списки адресов. Черный список – это список тех адресов, письма с которых фильтр отбраковывает сразу, не применяя других методов. В этот список нужно заносить адреса, если с них постоянно приходят ненужные или, хуже того, зараженные письма. Белый список, наоборот – список адресов хорошо известных пользователю людей или организаций, которые передают только полезную информацию. Антиспамовый фильтр можно настроить так, что будут приниматься только письма от адресатов из белого списка;
· базы данных образцов спама. Как и антивирус, антиспамовый фильтр может использовать базу данных образцов нежелательных писем для удаления писем, соответствующих образцам;
· самообучение. Антиспамовые фильтры можно «обучать», указывая вручную, какие письма являются нормальными, а какие нежелательными. Через некоторое время антиспамовый фильтр начинает с большой достоверностью самостоятельно определять нежелательные письма по их похожести на предыдущий спам и непохожести на предыдущие нормальные письма;
· анализ служебных заголовков. В письме, в относительно скрытой форме хранится служебная информация о том, с какого сервера было доставлено письмо, какой адресат является реальным отправителем и др. Используя эту информацию, антиспамовый фильтр также может решать, является письмо спамом или нет. Другой вариант проверки – запросить у почтового сервера, действительно ли существует адресат, указанный в письме как отправитель. Если такого адресата не существует, значит, письмо, скорее всего, является нежелательным;
Использование антиспамовых фильтров помогает защититься и от некоторых почтовых червей. Самое очевидное применение – это при получении первого зараженного письма (в отсутствие антивируса это можно определить по косвенным признакам) отметить его как нежелательное и в дальнейшем все другие зараженные письма будут заблокированы фильтром.
Почтовые черви известны тем, что имеют большое количество модификаций незначительно отличающихся друг от друга. Поэтому антиспамовый фильтр может помочь и в борьбе с новыми модификациями известных вирусов. В этом смысле антиспамовый фильтр даже эффективнее антивируса, т. к. чтобы антивирус обнаружил новую модификацию необходимо дождаться обновления антивирусных баз.
В любом случае, антивирусы являются самыми эффективными средствами защиты от вирусов, и их использование на рабочих станциях обязательно.
33)