Надежда Баловсяк - Интернет. Трюки и эффекты

В данном разделе рассмотрены основные уязвимые места Windows и выстроена модель многоуровневой защиты.

Ошибки в Windows как обнаруживались, так и обнаруживаются, и ничего тут не поделать. Эпидемии Nimda, Red Code и MS Blast лишний раз показали, насколько уязвимы могут быть операционные системы. Windows без обновлений – основной фактор уязвимости компьютера. Ни для кого не секрет, что большинство «червей» заражают систему именно благодаря наличию брешей, или дыр. Как яркое подтверждение сказанному, хотелось бы упомянуть наиболее нашумевших представителей. MS Blast заражает систему, эксплуатируя уязвимость в службе DCOM RPC (служба удаленного вызова процедур). Модификации «червя» SdBot распространяются, используя пять дыр, в том числе и вышеназванную. «Черви» семейства Sober и Sasser известны своими «пристрастиями» к службе LSASS (Local Security Authority Subsystem – один из сервисов, обеспечивающих безопасность системы), которую успешно эксплуатируют без ведома пользователя. Учитывая, что большинство «червей» используют уязвимость переполнения буфера, а служб и портов в Windows более чем достаточно, то появление новых «червей» или модификаций старых, применяющих новые дыры, не заставит себя ждать.

Поэтому необходимо следить за появлением новых уязвимостей и регулярно обновлять систему.

Многие пользователи активно применяют Internet Explorer. Не секрет, что он без должных пакетов обновлений является хорошим объектом для атак извне. JavaScript, ActiveX, Dhtml и др. могут быть успешно использованы для атаки, кражи файлов, удаления данных и т. п. В подтверждение вышесказанному приведен HTML-код, возможности которого при соответствующей доработке можно использовать для запуска любого произвольного кода на машине жертвы:

CODEBASE=’C:\Windows\system32\logoff.exe’>

Удачной альтернативой стандартному браузеру являются такие продукты, как Opera и Avant Browser.

В настоящее время среди бесплатных программ можно выделить много достойных продуктов. Учитывая результаты официальных и неофициальных тестирований, а также собственный опыт, можно с уверенностью сказать, что абсолютной защиты нет. При определенных условиях даже самый авторитетный, с хорошей эвристикой и модулем анализа подозрительного поведения программного кода антивирус может дать сбой. Не надо забывать, что параллельно с развитием антивирусного программного обеспечения совершенствуются и вирусы. Существует семейство вирусов, так называемые stealth-вирусы, отличительной особенностью которых является наличие системы сокрытия от антивирусной программы – благодаря особенностям работы программного кода такие вирусы отслеживают обращения антивируса к инфицированному файлу и представляют последний незараженным. В результате – вируса как будто бы и нет. На самом деле он распространяется от файла к файлу, скрывая свое присутствие. Подтверждением данному служит яркий пример – Optix Killer, который просто отключает антивирусную программу.

Крайне желательно, чтобы на вашем компьютере были установлены по крайней мере две операционные системы. Зачем? Во-первых, удобно «препарировать» Windows. Во-вторых, наличие чистой среды при проверке зараженной более чем желательно, особенно если дело касается stealth-вирусов и быстро распространяющихся «червей». Можно посоветовать два антивируса (на разных системах, естественно): Kaspersky Antivirus personal 5.0 и Panda Platinum 2005 Internet Security. Первый имеет обширные базы, хотя они зачастую могут содержать вирусы и записи на эксплоиты (программы, написанные для практического использования какой-либо уязвимости в злонамеренных целях), нюкеры, кейлоггеры, а также программы, идентифицируемые KAV как «хакерский инструментарий». Panda прельщает анализом подозрительного поведения программного кода, защитой от неизвестных угроз, модулем самодиагностики – в общем, своей многофункциональностью. Ансамблю этих двух наиболее уважаемых антивирусных продуктов вполне можно доверить безопасность вашего компьютера. Только вот от самых новых вирусов они все равно вашу систему не спасут.

Существуют также программы-ревизоры. В качестве примера можно привести Adinf. Принцип ее работы основан на сохранении в специальной базе основных данных о каждом логическом диске в системе. При первом запуске в таблицах запоминаются объем оперативной памяти, образы главного загрузочного сектора, других загрузочных секторов, список сбойных кластеров, структура дерева каталогов, длины и контрольные суммы файлов. Когда вирус заражает компьютер, он изменяет объект, в который внедряется исполняемый файл, главный загрузочный сектор, FAT-таблица. Если ревизор обнаруживает на диске изменения, характерные для действия вируса, он предупреждает об этом пользователя. Важным отличием Adinf от других существующих программ-ревизоров является доступ к дискам без использования функций операционной системы. Такой метод позволяет успешно обнаруживать stealth-вирусы. Кроме борьбы с вирусами, Adinf следит за целостностью и сохранностью информации на жестком диске, выявляя все происходящие изменения.