Организация защиты компьютера примерно схожа с организацией зашиты частного дома, т.е. сперва укрепляются стены, заводится собака и возводится забор. В первую очередь при выходе пользователя в сеть интернет необходимо задуматься об антивирусной защите, т.е. если говорить образно — заведении собаки. Собака должна быть желательно породы «овчарка», которая сторожила бы дом от посягательств грабителей и защищала таким образом имущество жителя, включая ценности хранимые дома вплоть до его почтового ящика во дворе.

Компьютерный вирус — программа ЭВМ, способная без ведома пользователя и вопреки его желанию самопроизвольно размножаться и распространяться, нарушать работоспособность программного обеспечения ЭВМ. Троянские вирусы осуществляют различные несанкционированные пользователем действия: сбор информации и ее передачу злоумышленнику, ее разрушение или злонамеренную модификацию, нарушение работоспособности компьютера, использование ресурсов компьютера в неблаговидных целях. Отдельные категории троянских программ наносят ущерб удаленным компьютерам и сетям, не нарушая работоспособность зараженного компьютера (например, троянские программы, разработанные для распределенных DoS-атак на удаленные ресурсы сети). Сетевые черви распространят свои копии по локальным и/или глобальным сетям с целью проникновения на удаленные компьютеры, запуска своей копии на удаленном компьютере и дальнейшего распространения на другие компьютеры сети. Для своего распространения сетевые черви используют разнообразные компьютерные и мобильные сети: электронную почту, интернет-пейджеры, файлообменные (P2P) и IRC-сети, LAN, сети обмена данными между мобильными устройствами (телефонами, карманными компьютерами) и т. д.

alt

Вирус может проникнуть на компьютер пользователя через носители информации, почту, веб сайты и разумеется напрямую с соседнего компьютера. Защититься от вирусного кода можно используя специальные антивирусные пакеты. Антивирус это программа, целью которой является обнаружение и удаления тела вируса с носителя информации. Антивирус должен содержать в себе несколько основных функций:

- Монитор — это модуль антивируса, который постоянно находится в оперативной памяти компьютера и контролирует запуск файлов. При запуске приложения монитор проверяет его на наличие вируса и если вирус обнаружен, то предлагает вылечить зараженный объект, либо удалить, либо заблокировать доступ к объекту. Таким образом, антивирусный монитор позволяет обнаружить и удалить вирус до момента реального заражения системы.

- Эвристический анализатор. Производители антивирусного программного обеспечения пытаются использовать некоторые известные приемы для борьбы с компьютерными вирусами, распространяющимися в Internet. Один из методов называется эвристическим и предусматривает для выявления потенциальных вирусов проверку «подозрительных» команд в программах. Эвристические технологии могут выявлять новые вирусы, никогда ранее не встречавшиеся, и, таким образом, способны предотвращать распространение опасного программного кода. В старом методе, получившем название поиска по сигнатурам (характерным признакам вируса), для идентификации вирусов используются конкретные фрагменты их программного кода. Оба метода имеют свои недостатки. Эвристические методы нередко дают ложные предупреждения, помечающие «чистый» программный код, как подозрительный. Метод поиска по сигнатурам требует, чтобы произошло заражение вирусом (для его изучения) — лишь после этого исследователь может создать для него «вакцину» (антивирусную корректировку). Тем временем вирус будет продолжать распространяться. Некоторые специалисты считают, что отрасли пора, поскольку прежний метод поиска по сигнатурам недостаточно эффективен при выявлении новых вирусов.

- WEB защита. Защита от вирусных кодов, которые обычно закладываются взломщиками в скрипты веб страниц, в качестве примера можно привести вирус JS.Joke.Blinker, который имеет код в тринадцать строчек, но имел довольно ,большой «успех» у пользователей ранних версий Internet Explorer, так как с помощью уязвимости, которой подвержен этот браузер, вдруг беспорядочно начинал мерцать монитор и в конечном итоге компьютер «зависал». Код вируса выглядит следующим образом:

var color = new Array;
color[1] = «black»;
color[2] = «white»;
for(x = 0; x <3; x++)
{
document.bgColor = color[x]
if(x == 2)
{
x = 0;
}
}

Как видно из кода, он легко может быть добавлен, в любую веб страницу, и в случае если у пользователя в антивирусе есть функция web защиты, то страница будет для него просто блокирована, и тем самым не доступна.

- Проверка электронной почты. Данная функция считается важной в построении безопасности, так как не все почтовые сервера Интернета имеют в своём распоряжении антивирус. Защита на пользовательском компьютере осуществляется по двум протоколам: POP и SMTP. SMTP — упрощенный протокол электронной почты (Simple Mail Transfer Protocol) применяется для установки прямой связи между почтовыми серверами и отправки сообщений из клиентской почтовой программы. Протокол POP3 используется, главным образом, клиентскими почтовыми программами для доставки электронных сообщений из почтовых ящиков POP3-совместимых почтовых серверов. Антивирусом сканируется весь трафик проходящие через эти протоколы ещё до того как произойдёт приём каких либо данных почтовым клиентом, и на оборот — если вирус по какой-либо причине вдруг захочет отправить «своё тело» через почтовый ящик пользователя, то этот код, будет также блокирован.

alt

Покупка и установка антивируса это всего лишь начало «оборонительных действий». Вторым шагом пользователю необходимо подумать об укреплении стен дома, т.е. о своевременном обновлении системы патчами для устранения «дыр» — уязвимостей, через которые могут пролезть не только вирусы, но и их хозяева — компьютерные взломщики. Уязвимости — это ошибки программистов, которые разрабатывали систему / программу и не учли её поведение в той или иной ситуации. Вообще существуют «критичные» и «некритичные» уязвимости, т.е. бреши в защите, которые могут предоставить удалённому взломщику сразу полный доступ к системе пользователя, так и бреши, которые могут дать частичный доступ, но с возможностью расширения своих привилегий при определённых манипуляций со стороны хакера. Сразу отмечу, что на данный момент не существует систем, которые не имели бы уязвимостей и из-за этого факта производители операционных систем и программного обеспечения постоянно находятся в гонке с хакерами — «кто быстрее найдёт брешь в защите». В случае если уязвимость первым находит производитель операционной системы, то он быстро создаёт «заплатку» — патч и тут же выкладывает её у себя на сайте для того, чтобы пользователь установил её у себя в системе. А вот в случае, когда брешь находит первым хакер, тут уж можно лишь догадываться, что он может сделать — толи создать вирус, эксплуатирующий данную уязвимость и тогда уже все компьютеры глобальной сети становятся мишенью, толи выпускают эксплоит, применив который любой, даже не очень умный человек, может «взломать» практически любую уязвимую систему. Эксплоит по определению — это намеренное использование взломщиком недоработок или известных «дыр» систем / программ с целью получения контроля над удалённым компьютером. Обычно эксплойты создают на языках программирования С++ и perl, а передаются из рук в руки открытыми кодами без компиляции.

Устанавливать патчи можно по мере их выхода с сайта производителя операционной системы в ручную или автоматически. Автоматический режим подходит лишь людям, которые имеют полноценный выход в сеть интернет, т.е. широкий канал приёма информации (выделенные линии). Настройка автоматического режима производится стандартными средствами Windows (Пуск — панель управления — Автоматическое обновление). Ручной режим обновлений также достаточно прост — нужно скачивать с сайта производителя операционной системы лишь критические обновления. Определить, какой уязвимости подвержен компьютер пользователя — критической или нет, можно простым отслеживанием новостей безопасности информационных систем (например securityfocus.com, seclab.ru) или установив себе на компьютер сканер уязвимостей, который сам просигнализирует пользователю, что у него в системе критично. Сканер уязвимостей — это программа, которая сканирует компьютер пользователя (группу компьютеров в сети) на наличие уязвимостей. Базы уязвимостей сканера пополняется по мере того, как специалистам, поддерживающим их актуальными, становится известно о наличии брешей.
alt
Историческая справка: Троян, или троянский конь, это сооружение, которое Одиссей подарил троянцам после десятилетней войны с ними, не принесшей победы. Троянцы решили что подарок был финальной насмешкой, поскольку не проходил сквозь главные ворота. Ворота были частично разрушены, но никто не подумал что внутри коня спрятались храбрые воины Итаки (правителем которой был Одиссей). Ночью они открыли ворота, и Троя была сожжена. По крайней мере так утверждает великий древний писатель Гомер.

После того, как пользователь укрепил стены, он может начать возведение забора с воротами вокруг дома — т.е. начать установку персонального брандмауэра, который пускал / выпускал «гостей», и следил за ними во время нахождения в «гостях». Персональный брандмауэр — это программа, предназначенная для защиты компьютера от внешних и внутренних атак хакеров, червей, шпионских программ и «троянских коней». Под внешними атаками в данном случае мы понимаем начальные уровни взлома, так называемую разведку. Здесь брандмауэр блокирует определенный вид входящего сетевого трафика, т.е. в случае, если какая либо удалённая система захочет подключиться к пользовательскому компьютеру, то о данном прецеденте в начале будет доложено пользователю, и он уже сам решит — доверять данному соединению или нет. Внутреннюю защиту брандмауэр осуществляет за счёт настройки фильтра программного обеспечения установленного в системе. В случае, если каким либо образом шпионский код проник в систему, то он уже не сможет отправить информацию своему «хозяину», так как о его сетевой деятельности будет доложено пользователю компьютера, а он уже и примет решение о том, что делать дальше.

Подводя итоги отмечу, что брандмауэр — это очень полезная вещь, которая может защитить пользователя и от «диких» вирусов, которые сами «липнут» к уязвимым пользовательским системам с соседних компьютеров сетевого сигмента, так и от хакеров, которые хотят управлять системой пользователя как своей собственностью.

Дополнительно к защите своего дома жителю необходим безопасный транспорт, в котором он может выезжать из дома, не опасаясь за то, что его могут ограбить по дороге — в нашем случае автомобилем может служить безопасный браузер, который на сто процентов будет защищён и не принесёт пользователю в место информации активные вирусные коды. Браузер — это программа навигации и просмотра веб-ресурсов, позволяет запрашивать и просматривать файлы в сети Интернет. В «по настоящему безопасном браузере», прежде всего, необходимы следующие функции:

- Secure Sockets Layer (SSL) — это протокол, который защищает данные, пересылаемые между Web-браузерами и Web-серверами. SSL также предоставляет возможность, что данные, получаемые с узла Web, приходят именно с предполагаемого узла и во время передачи они не были искажены. Чаще всего SSL применяется для защищенного обмена данными между Web-браузерами и Web-серверами. Основное назначение протокола защиты состоит в следующем: Аутентификация сервера, гарантирующая пользователям, что они попали именно на тот узел Web, который хотели посетить; Создание такого защищенного канала, что информация может передаваться между браузером и сервером в закодированном виде, с тем чтобы никто не смог исказить данные во время пересылки; Пользователи Web могут распознать узел, который поддерживает SSL, по тому, что адрес Web-страницы начинается с https. Буква s, добавленная к знакомому HTTP — Hypertext Transfer Protocol, означает secure, то есть «защищенный». Пользователям не нужно предпринимать никаких специальных действий, чтобы переключиться на SSL-соединение. Клиентская программа SSL встроена в браузер; большинство узлов просто требуют пароля или регистрационного номера для того, чтобы проверить подлинность пользователя.

Дополнительно браузер должен поддерживать TLS. TLS (Transport Layer Security) — это протокол, который был введен в действие на основе протокола SSL организацией IETT, подготовившей соответствующий стандарт. Он обеспечивает возможность повторного подключения без повторной аутентификации и согласования ключей сеанса. Обеспечивается согласование допустимых алгоритмов генерирования ключей (DH), шифрования (3DES-CBC, RC2, RC4, IDEA, DES, Triple-DES, AES, Blowfish), цифровой подписи и аутентификации (DSS, RSA, анонимный доступ с последующей дополнительной аутентификацией), хеширования (SHA-1, MD5). Ведущие компании специализирующиеся на защите информации рекомендуют перед отправкой важной информации на веб узел убедиться, что веб-узел использует протокол SSL/TLS, и проверить имя сервера. Как правило, протокол SSL/TLS применяется для шифрования данных при пересылке через Интернет. Кроме того, с его помощью можно проверить, что данные передаются на нужный сервер. Имя сервера, на котором размещается текущая веб-страница, можно проверить по соответствующему имени пользователя цифрового сертификата SSL/TLS.

Сертификаты — это принятая сейчас форма хранения и передачи открытых ключей. Сертификат - это набор данных специального формата (обычно записываемый файл), содержащий сам открытый ключ и всю информацию о нем и о его владельце. Все открытые ключи хранятся и передаются в виде сертификатов. Сертификаты выпускаются специальными уполномоченными центрами, которые могут носить различные названия: удостоверяющий центр, центр сертификации, пункт регистрации абонентов и т.д. В любом случае такой центр выполняет административные функции. Центр и пользователи (абоненты), которые пользуются услугами центра, составляют криптосеть. Для того, чтобы центр выпустил сертификат на открытый ключ, абоненту необходимо прислать заявку (запрос) на такой сертификат. Заявка содержит открытый ключ и всю информацию о нем и о владельце. Центр проверяет подлинность и корректность этой информации (как именно - зависит от регламента центра) и выпускает сертификат, заверяя его своей электронной подписью.

Для чего всё это нужно

Знания — это главный победоносный фактор любой оборонительной системы — и для того, чтобы грамотно защищать свою систему пользователю конечно же нужно знать врага в лицо, попробую ответить на вопрос — «для чего одни люди ломают системы других ?». Существуют разные взломщики, одних можно назвать «хакеры», а других можно признать хакерами. Первые попадают под категорию 13 -16 лет — переходный возраст, молодые люди хотят, чтобы их признали, но к сожалению, кроме как сидеть и играть в «онлайн» игры ничего больше не хотят, и таким образом объединяются в «кланы» по интересам. Кланы не занимаются разработкой и изучением систем, они лишь ищут готовые решения взлома, и как только находят, тут же используют их. В основном такие «хакеры» ломают сайты частных фирм и мелких государственных учреждений, т.е. в данном случае, целью стоит не взлом определённого сайта, для этого у кланов обычно не хватает мастерства, а целью становятся обычно забытые или немного запущенные проекты, администраторы которых часто не обновляют коды своих веб страниц и серверов месяцами.

Вторая категория очень редко использует свои умения без жажды наживы, им не нужна слава и они очень редко используют общеизвестные уязвимости, это как раз те самые люди, которые пытаются опередить разработчиков операционных систем в обнаружении брешей в защите. Думаю, что не для кого не секрет, что хакеры открывают секрет обнаружения какой-либо уязвимости не ранее, чем используют её, а на это уходит примерно 2-3 дня за которые может произойти всё что угодно.

Не нужно думать, что хакеры взламывают лишь коммерческие и государственные организации и обычный пользователь, который выходит в интернет не находится под прицелом взломщиков. Во-первых, пользовательские машины могут использоваться хакерами, как боты, для того, чтобы с их помощью блокировать работу крупных серверов компаний с целью шантажа. Также с пользовательских компьютеров можно «сливать» ценную коммерческую информацию, например ключи электронных кошельков или пароли к личным почтовым ящикам предприятия.

Итог

Независимо от того, существует прямая угроза личному компьютеру или косвенная, всегда есть вероятность, того, что пользователь сам может наткнуться на веб — страницу ловушку или скачать вирусный код с сайта рефератов, т.е. можно сказать однозначно — минимальная защита, описанная выше, должна присутствовать обязательно.