Миф о сетевой безопасности и его разоблачение
АрхивКому мой компьютер нужен? Чего ради кто-то в него полезет? Однако когда я поставил файрволл, волосы у меня встали дыбом: он рапортовал о нескольких попытках проникновения в систему.
Подключившись к Интернету по выделенной линии, я сразу поставил файрволл производства McAfee. Больше для порядка, чем с целью борьбы с непрошеными гостями.
Кому мой компьютер нужен? Чего ради кто-то в него полезет? Однако поутру волосы стояли торчком: firewall рапортовал о нескольких попытках проникновения в систему. Кто-то сканировал порты, кто-то норовил запустить скрипт... и этих американцев, французов, украинцев и милых сердцу россиян интересовал именно мой, ничем не примечательный компьютер. Однажды файрволл не справился, и на некоторое время родной ПК превратился в арену для демонстрации всплывающих окон с рекламой салонов интим-услуг, причем впервые подобное окно появилось во время просмотра новостей на РБК... Подумываю даже удалить файрволл: боязно, конечно, зато страх как интересно.
В общем, самое время завести в "Компьютерре" рубрику о способах борьбы за сетевую безопасность. Открывает ее материал, развеивающий множество мифов в этой области, а следующие статьи помогут читателю безболезненно, шаг за шагом, превратить свой компьютер в оазис чистоты и благополучия в этом ужасно неблагополучном Интернете. - Сергей Вильянов
Составляя рейтинг технологий, пышным цветом расцветших в последние годы на ниве Интернета, первое место следует отдать вирусам. Червь Морриса, в свое время потрясший компьютерный мир, выглядит безобидной студенческой шуткой по сравнению с нынешними хищниками глобальной сети. Вирусы стали гораздо изощреннее, технологичнее, изящнее. Многие можно назвать настоящими произведениями искусства, превратившими Интернет в далеко небезопасную среду.
Люди же остались людьми: самоуверенными, ленивыми, недальновидными. По долгу службы участвуя в расследовании сетевых инцидентов, произошедших с клиентами Интернет-провайдера (его имя в данном случае роли не играет), я заметил: ни один из них не допускал мысли, что может пострадать от онлайновых злоумышленников. У каждого из клиентов были определенные идеи, дающие уверенность в собственной безопасности. На поверку такая защита оказалась эфемерной.
Мало-помалу у меня набралась небольшая коллекция подобных заблуждений, которую я и предлагаю вашему вниманию. Почему ошибки каких-то незнакомых людей должны представлять интерес, спросите вы? Отвечаю: во всех случаях клиенты несли потери. Прямые убытки, связанные с восстановлением систем и оплатой вирусного трафика, достигали нескольких тысяч долларов. Суммы косвенных убытков - от уничтожения, хищения и неправомерного использования данных - остались за кадром. Посмотрите, вдруг среди изложенных ниже заблуждений вы найдете что-то до боли знакомое? В конце концов, лучше учиться на чужих ошибках…
До сих пор бог меня миловал, а потому ничего страшного не произойдет и впредь.
Убойный по своей логике аргумент в нашем меняющемся мире. Жители Помпеи думали так же.
На моем ПК нет ничего важного. Что собака из кузни упрет?
Взломанная система может, в частности, использоваться как плацдарм для дальнейшего нападения. Представьте "радость" владельца взломанной системы, виновного только в своей некомпетентности, от общения со службой безопасности какой-нибудь серьезной организации, атакованной злоумышленниками.
Мой домашний компьютер подсоединен к Интернету через модем. Если заражусь, переставлю систему и только.
Есть несколько вирусов, создающих новое модемное соединение ("удаленное соединение" в Windows OS). Алгоритм их работы выглядит так:
- система заражается;
- создается новое "удаленное соединение", но не с местным провайдером, а с другим, сидящим на платной международной линии;
- разрывается текущее модемное соединение (выглядит как обычный обрыв связи, печально знакомый многим дайлапщикам); когда же пользователь возобновляет соединение, то подключается к Интернету уже через новое соединение по оплачиваемой линии.
- в конце месяца приходит телефонный счет с очень большим количеством нулей.
На мой взгляд, домашние компьютеры - наиболее частая добыча злоумышленников. Большинство пользователей не ставят брандмауэр и антивирус потому, что система начинает медленно работать. Заплатки качать по модему - долго. Но удивляются, когда у них крадут пароли доступа к провайдеру.
У меня есть брандмауэр (он же сетевой фильтр, файрволл), чего мне бояться?
Его еще надо правильно настроить. Проверить корректность настройки брандмауэров можно сетевым сканером, позволяющим выявить доступные из Интернета сетевые сервисы на исследуемой системе. Особый класс подобных устройств - сканеры вторжения (сканеры безопасности), которые проверяют устойчивость сетевых сервисов к взлому.
Примечание. Выбирая программный персональный брандмауэр, проверьте, есть ли в нем средства контроля сетевой активности пользовательских приложений, позволяющие для каждой программы задать свою политику сетевой активности.
У меня стоит антивирус.
Первое. Антивирусы не защищают от сетевых вторжений (откуда взялось это распространенное заблуждение - хоть убей, не знаю), у них совсем другая задача.
Второе. Не вдаваясь в религиозный спор, какой антивирус лучше, отмечу:
- не стоит забывать про обновления;
- обновления антивирусных баз выходят после появления вирусов, а не до.
Третье. Защита должна быть комплексной. Я был свидетелем случая, когда произошло заражение компьютера через дыру в браузере. Хотя антивирус подозрительной активности не обнаружил, брандмауэр упрямо сообщал о попытках загрузить некие файлы из Интернета по ftp. По этому признаку вычислили вирус. Соответствующее обновление антивирусной базы последовало через день. Заплатка для браузера появилась лишь через полтора месяца.
Если не запускать файлы, вложенные в письма электронной почты, то заразиться нельзя.
Заражение происходит через дыру в программе-клиенте почтовой службы.
Если ходить по веб-страничкам, то не заразишься.
Есть два способа заражения при просмотре страничек:
- через уязвимости самих браузеров;
- через "активные" элементы страниц.
Следует не только своевременно обновлять уязвимые программы, но и ограничивать выполнение различных "активных" элементов (ActiveX, Java-апплеты, VBS/Java-скрипты и т. п.) при просмотре документов с "ненадежных" сайтов.
Примечание. Вирус можно подхватить и на вполне благонамеренном сайте, ранее взломанном злоумышленниками. Например, несколько видов червей используют комплексную систему распространения. Взламывая сайты, они модифицируют содержимое веб-страничек, вставляя вредоносные программные элементы. Посредством этого заражаются клиенты взломанного сайта. С зараженных машин клиентов начинаются новые атаки на сайты и т. д.
У меня операционная система X, а такие-то программы - Y. Поэтому я ничего не боюсь.
Напрасно. Не встревая в спор, что must die, а что нет, отмечу: в истории подавляющего большинства прикладных программ и операционных систем можно найти уязвимые версии. Поэтому лучше принять за аксиому, что уязвимо всё (кто порекомендует хорошего психотерапевта?), только не для всего еще есть заплатки.
Ко мне пришло письмо от Васи Сидорова, но Вася говорит, что его не отправлял.
Если предположить, что Вася Сидоров не обманывает и что никто не получал доступ к его компьютеру, то вы получили подложное письмо. Большинство почтовых серверов не запрашивают верификационные данные пользователя (имя, пароль) при отправлении почты, так что действительно существует возможность отправки письма от чужого имени. Для подтверждения достоверности корреспонденции следует пользоваться цифровой подписью. Это позволит определить достоверность отправителя и проверить целостность сообщения (защита от модификаций).
Спокойно выхожу в Интернет из компьютерных клубов.
В локальных сетях существует возможность перехвата данных посторонним лицом. Некоторые прикладные сетевые протоколы (почтовые - SMTP/POP3, FTP, ICQ и т. п.) передают информацию в открытом (незакодированном) виде, что делает ее полностью доступной всем заинтересованным лицам. Для предотвращения этой возможности владельцам локальных сетей нужно предпринимать определенные материальные и интеллектуальные усилия. Разумеется, ничего подобного, как правило, не делается. Возможно, большинство людей не оперирует своими средствами в Интернет-банках из компьютерных клубов, но лишиться своей "аськи" из-за понравившегося кому-то номера - удовольствие не из приятных.
Поставил брандмауэр, антивирус. Выставил все заплатки. Теперь отдыхаю.
Вспомните о непотопляемом чуде инженерной мысли - "Титанике". Лучше априори предположить, что в системе защиты есть как минимум одна серьезная дыра и куча маленьких. Разыскав их, имеете шанс опередить злоумышленников.
- Александр Красоткин
В заключение приведу избранные отрывки из разговоров сотрудников (С) компании-провайдера с клиентами (К), участником и свидетелем которых мне посчастливилось быть.
С: В последний раз ваш антивирус обновлялся 14 апреля 2001 года (разговор происходит в апреле 2004-го).
К: Это же "Касперский" (антивирус лаборатории Касперского, версия 3.0)! Он в прошлом году в Европе приз получил! Сам по радио слышал!
С: В системе обнаружено три разных вируса. Заражено больше шестисот файлов.
К: Но этот компьютер нельзя было проверять! На нем работает "1С:Бухгалтерия", а антивирус при проверке выбивает ее!
С: Можно было проверять вечером, после работы.
К: Ну что вы! У нас в организации рабочий день строго регламентирован. Ровно в 18:00 все домой уходят.
С: Вирус, обнаруженный при проверке в памяти компьютера, создавал сетевой трафик.
К: Этого не может быть! Он же в памяти, а не в сети!
К: На сервере стоит брандмауэр, поэтому из сети меня взломать не могли.
С: Ваш сетевой фильтр настроен так, что пропускает все сетевые соединения на все порты.
К: Правильно. Это я так сделал. А то в анрыл побегать не получается.
К: Мои специалисты сказали, что, если картинки с веб-сайтов просматривать в браузере, то они не скачиваются на компьютер. Поэтому трафика расходуется меньше.
С: Насколько же?
К: Вы даже этого не знаете! Всем известно, что раз в двадцать - тридцать.
С: Вирус, обнаруженный на вашем компьютере, пытаясь распространиться дальше, активно устанавливал сетевые соединения. Отсюда и возник большой исходящий трафик.
К: Вирус этот я себе не устанавливал, поэтому его трафик оплачивать не буду.
Эти примеры дружеской пикировки можно было бы счесть забавными, если б не одно "но": за каждым из них стоит сетевой инцидент, произошедший по большей части из-за элементарной неосторожности или неосведомленности пользователей. А ведь базовые правила сетевой безопасности ничуть не сложнее правил дорожного движения.