С самого момента своего появления интернет и не планировался быть защищенной сетью. Если пять-десять лет тому назад использование Сети было, в основном, уделом узкого круга технарей-специалистов, то теперь доступ к ней получило множество людей, не слишком хорошо осведомленных в тонкостях работы программного и аппаратного обеспечения (пример из жизни — недавно автор стал свидетелем того, как новоявленный интернетчик дал своему другу личный e-mail вместе с… паролем на почтовый ящик…. Видимо, человек считал, что, не зная пароль на его почтовую запись, нельзя послать электронное письмо).

 

Притоку в интернет широких масс, далеких от компьютерных технологий, и обострению проблем несанкционированного вторжения способствует падение цен на компьютеры, активная маркетинговая политика все увеличивающегося числа провайдеров, гибкие тарифные пакеты для работы в Сети, введение интернет-карточек, упрощающих процедуру регистрации и оплаты услуг за использование Сети.

 

Итак, опасность существует и прослеживается тенденция к усугублению проблем персональной безопасности. Как от нее защититься обычным пользователям, у которых нет огромных сумм, которые тратят организации на различные системы защит, но которым не хочется, чтобы кто-то получил доступ к личной информации?

 

Безопасность персонального компьютера в интернете — проблема комплексная, поэтому сначала рассмотрим основные виды угроз, с которыми могут столкнуться пользователи интернета.

 

Одна из самых давних и наиболее очевидная опасность — это вирусы, которые с распространением интернета обрели «второе дыхание». Существует много классов вирусов, но мне хотелось бы остановиться на одной разновидности, часто рассматриваемую как отдельный класс — так называемые «троянские кони».

 

Троянские кони

 

Отличаются от вирусов тем, что они не размножаются и часто маскируются под видом полезных и безопасных программ или обновлений для популярных программ.

 

Интернет-трояны — программы, которые либо дают доступ к компьютеру с другого компьютера без ведома пользователя (BackDoor), либо высылают по определенному адресу какую-либо информацию с компьютера-жертвы (Trojan.PSW).

 

Backdoor

 

К Backdoor относят утилиты скрытого удаленного администрирования (самые известные примеры Back Orifice, Netbus, Subseven) — организовывающие на установленном компьютере «дверь» для вторжения извне. От утилит администрирования, разрабатываемые и распространяемые различными фирмами-производителями программных продуктов, backdoor отличаются тем, что в них отсутствует предупреждение об инсталляции и запуске, либо присутствует возможность организации «скрытого» режима работы.

 

После запуска троянец устанавливает себя в системе, при этом в ОС не выдается никаких сообщений о действиях троянца пользователю. Более того, ссылка на троянца может отсутствовать в списке активных приложений. В результате «пользователь» этой троянской программы может и не знать о ее присутствии в системе, в то время как его компьютер открыт для удаленного управления.

 

Будучи установленными на компьютер, утилиты скрытого управления позволяют делать с компьютером все, что в них заложил их автор: принимать/отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер, ввести протоколы всех нажатых клавиш и т. д. В результате, эти троянцы могут быть использованы для обнаружения и передачи конфиденциальной информации, для запуска вирусов, уничтожения данных и т п.

 

Trojan.PSW

 

Многочисленная группа Trojan.PSW менее «функциональна» и больше предназначена для одноразового выполнения определенных деструктивных или «шпионских» функций. Например, отсылка по прописанному в теле троянца адресу какой-либо конфиденциальной информации (учетная запись для подключения к Сети, пароли на ICQ и ваш почтовый ящик, на платные сайты, регистрация на которых обошлась вам в звонкую монету, пароли на сетевые ресурсы и т. п.).

 

Меры противодействия

 

Для начала необходимо проверить, есть ли на компьютере доступные извне ресурсы (такие как сетевой принтер, жесткие диски). Чаще всего от хакеров, занимающихся сканированием диапазонов IP-адресов провайдера, страдают пользователи локальных сетей, которые предоставляют доступ к своим дискам и директориям другим пользователям сети (например, небольшая ЛС дома или в офисе). Поэтому, прежде всего, необходимо запретить доступ к своим дискам или хотя бы ограничить его (предоставив доступ к разделам и директориям, не содержащим конфиденциальную информацию, или поставить на необходимые пользователям локальной сети ресурсы оговоренные заранее пароли).

 

Для запрета доступа посторонним к вашим дискам необходимо зайти в: «Control Panel» --> «Network» и, щелкнув по кнопке «File and print sharing», убедиться в том, что все галочки сняты.

 

Далее открыв папку «Dial-Up Networking», заходим в свойства соединения и во вкладке «Server Types» снимаем галочку напротив, «Log on to network» и напротив протоколов «NetBEUI» и «IPX/SPX Compatible».

 

Ни в коем случае не разрешайте доступ в директорию Windows! Именно в ней в большинстве случаев хранятся сохраненные пароли, как стандартной «звонилки» Windows, так и других программ дозвона, например, EType Dialer.

 

Выполнив эти несложные действия вы защитите свой компьютер от любителей похищения интернет-эккаунтов, ищущих по IP-адресам провайдеров компьютеры с доступными извне ресурсами.

 

Троянские кони

Троянец чаще всего попадает на компьютер пользователя из-за наплевательского отношения пользователя к безопасности своего ПК. Один из самых популярных вариантов — получение трояна по почте, либо по ICQ (письмо от какой-то девушки с прикрепленной фотографией ее «90x60x90», «полезные» программы (например, обновление антивируса или проверка на совместимость с 2xxx годом)). Кроме почты и ICQ, троян может попасть на ваш компьютер с какого-то download или с хакерского сайта (например, под видом очень крутого взломщика провайдера).

 

Не ленитесь проверять все новые файлы свежайшим антивирусом! Поймите, что лучше немного перестраховаться, чем потерять ценную информацию (курсовую работу, квартальный отчет, эккаунт в интернете, свой почтовый ящик или все содержимое жесткого диска).

 

Кстати, про бесплатные почтовые ящики…. Постарайтесь при регистрации почтового ящика не указывать секретный вопрос (или уберите его, если он у вас есть). Дело в том, что человек заинтересовавшийся вашим почтовым ящиком, может угадать ответ на секретный вопрос, либо вступив с вами в невинную переписку как бы между прочим узнать его. Поэтому будьте предельно осторожны при переписке с незнакомыми людьми.

 

В большинстве случаев перечисленных выше мер должно хватить для относительной безопасности.

 

Межсетевой экран

 

Если же вы хотите контролировать все интернет-соединения компьютера, оставаться анонимным во время серфинга, иметь возможность предотвратить отсылку троянцем ваших драгоценных паролей, то Вам необходимо поставить между вашим компьютером и Сетью «стенку», наткнувшись на которую, злоумышленники, вряд ли будут пытаться проникнуть дальше. Скорее всего, злоумышленник попытается найти себе более незащищенную жертву. Отсюда вывод: необходимо создать эту самую «стенку». Такими стенками являются межсетевые экраны (как их еще называют, брандмауеры или firewall). Это название довольно точно отражает специфику их функционирования (брандмауер — пожарный термин, означающий стену, которую воздвигают на пути у огня).

 

В этой статье я рассмотрел несколько персональных межсетевых экранов, устанавливающихся на персональный компьютер, работающий под ОС Windows 9x.

 

Первым в обзор я поместил ветерана среди персональных межсетевых экрановl, довольно популярный в нашей стране AtGuard.

 

AtGuard 3.22 (www.atguard.com)

 

Главный конек AtGuard — его высокая конфигурабельность. Количество настроек просто необъятно, однако, при этом с программой может работать любой новичок.

 

Это чудо программистской мысли, помимо стандартного контроля над интернет соединениями, умеет:

выpезать баннеpы с загpужаемых веб-стpаничек (Settings --> Web --> Add Blocking)

(Авторы AtGuard утверждают, что благодаря вырезанию баннеров с перегруженных сверх всякой меры сайтов, можно достичь ускорение до 600%);

в целях экономии pесуpсов пpекpащать деpганье анимиpованных картинок (Settings --> Web --> Active Content --> make animated images non-repeating);

по вашему желанию препятствовать выполнению JavaScript's, Java Applet's, ActiveX модулей (Settings --> Web --> Active Content);

пpепятствовать появлению всплывающих окошек с pекламой (Settings --> Web --> Active Content --> Block only popup window script);

не давать сеpвеpу, на котоpый вы зашли, узнать ваш IP-адрес (Settings --> Web --> Privacy --> Referer);

не давать сеpвеpу узнавать, каким браузером вы пользуетесь (Settings --> Web --> Privacy --> Browser);

не давать сеpвеpу узнать ваш e-mail адpес (поле from). Или говоpить, но не ваш (Settings --> Web --> Privacy --> E-mail);

контpолиpовать пpием Cookies (Settings --> Web --> Privacy --> Cookies);

вести подpобнейшую статистику и логи по всем ранеее пеpечисленным действиям.

 

Есть возможность включить режим обучения. В этом режиме пpоисходит интерактивное обучение реакции программы на некоторые события с незнакомого сайта, такие, как: прием Cookies; запуск Java-апплета; запуск ActiveX компонента. Когда включен этот режим, и происходит одно из этих событий, то появляется окошко с четырьмя возможностями: навсегда запретить данное событие с этого cайта, навсегда разрешить данное событие с этого сайта (при выборе этих двух опций при возникновении такого же события с этого же сайта в дальнейшем, никаких запросов появляться уже не будет), а так же только сейчас запретить или разрешить событие.

 

Включается режим обучения на закладке «Web», кнопкой «Filters...». В появляющемся окне отмечаются пункты «CookieAssistant» и «Java/ActiveX Assistant».

 

В закладке «Options» есть возможность установления пароля «Enable password protection», чтобы предотвратить несанкционированные изменения установок AtGuard.

 

Теперь переходим собственно к межсетевому экрану.

По умолчанию «межсетевой экран» отключен, необходимо его включить (Enable firewall). Убедитесь, что включен режим интерактивного обучения «Enable RuleAssistant».

 

Изначально система настроена на защиту от таких известных троянских коней, как Back Orifice и NetBus. В этом окошке можно добавлять, изменять или удалять правила, согласно которым будет осуществляться доступ к вашему компьютеру, есть даже возможность изменять время работы правил для каждого дня недели!

 

А теперь внимание, подходим к самому важному! Как собственно настроить межсетевой канал.

Войдите в интернет и при активном AtGuard’e запустите ваш браузер.

 

У вас должно появится окошко (конечно, если включен firewall и RuleAssistant) с какой-то информацией и четырьмя кнопками.

 

В этом окошке пишется информация о том, какая программа хочет получить доступ к вашему компьютеру или наоборот, из вашего ПК к Сети. Application — Windows Executable Loader, Remote Service — http (80), Remote address — 205.188.147.54.

 

Это обозначает, что AtGuard засек исходящий (Outbound) пакет, а именно: приложение Windows Executable Loader пытается получить доступ по HTTP (по 80 порту) к IP 205.188.147.54.

 

В моем случае это был очень злобный троянец, которого автор гонял в хвост и в гриву на своем ПК.

Запретим этому троянскому коню выход в интернет с нашими паролями, для этого щелкаем по кнопке «Always block this network communication» и получаем еще серию вопросов:

Данное правило относится только к этой или ко всем программам?

Данное правило относится только к этому порту или и к другим тоже (лучше поставить «Ко всем»)?

Данное правило относится только к этому IP или и к остальным тоже (в данном случае надо поставить «Ко всем»)?

Указывается имя, под которым правило будет храниться в закладке Setting

Чтобы убедиться в том, что вы создали новое правило, зайдите в Settings --> Firewall.

Для проверки работы правила служит кнопка «Test».

 

Аналогично настраиваются все остальные соединения.

 

Например, для работы вашего почтового клиента необходимо разрешить использовать POP3 (110-й порт) для входящей почты и SMTP (25-й порт) и на всякий случай разрешить обращения только к почтовым серверам, на которых вы зарегистрированы.

 

Браузеру же и Download-менеджеру, чтобы не иметь потом проблем с подстройкой, рекомендую разрешить доступ по всем портам к любым IP-адресам.

 

Одно из главных правил при работе с межсетевым экраном — это не бояться блокировать подозрительные соединения (особенно исходящие и входящие через 139-й порт), так как, даже заблокировав лишнее, перейдя в Settings --> Firewall, вывы можете изменить или удалить любое правило!

 

AtGuard 3.22 скачать можно с http://atguard.da.ru (1.5 Mб)

Norton Personal Firewall 2001 (www.symantec.com)

 

Наследник описанного ранее AtGuard, купленного у WRQ Inc. компанией Symantec. Его настройка и принцип работы мало чем отличается от AtGuard. Поэтому я остановлюсь только на отличиях.

 

Продукт полностью совместим с Windows 95/98/NT/ME/2000. NPF включает уникальную запатентованную технологию автоматической конфигурации межсетевого экрана для наиболее распространенных интернет-приложений, что позволяет сэкономить время и избежать необязательных сигналов тревоги.

 

Таким образом, автор, выбрав во время установки автоконфигурацию, был приятно удивлен тем, что при первом запуске Opera, Windows Commander, The Bat! и Netscape Communicator NPF автоматически добавил их в firewall rules.

 

Кстати, список заблокированных троянов намного полнее, чем у AtGuard (напомню, что он по умолчанию блокировал только Back Orifice и NetBus) и NPF автоматически блокирует более 60 троянцев!

 

Кроме блокирования cookies, объектов ActiveX и Java аплетов, NPF блокирует утечку личной информации (например, номер кредитной карточки, домашний адрес, телефон и т. д.).

Norton Personal Firewall 2001 обладает приятным интерфейсом.

 

Главное окно содержит 3 пункта. В пункте Status можно включить/отключить firewall, а также увидеть информацию о количестве заблокированных или разрешенных соединений, cookies Java аплетов и т. п. Во вкладке Security при помощи бегунка можно выставить один из трех уровней безопасности (Minimal, Medium и High). Я рекомендую поставить высокий (High) уровень безопасности, который блокирует все неразрешенные соединения и спрашивает разрешение на выполнение ActiveX компонентов и Java аплетов. Нажав на кнопку «Custom Level», можно выбрать нужный вам уровень безопасности, как для Firewall, так и для ActiveX и Java. Наконец, третья вкладка носит название «Privacy». В ней устанавливается защита ваших личных данных, таких как домашний и e-mail адрес, номера кредитных карт, от любопытных глаз, а также запрещаются или разрешаются cookies.

 

Для опытных пользователей предоставлено меню «Options». В меню «Options», помимо стандартных пунктов «View Event Log», «View Statistics» и «Clear Statistics», которые, на мой взгляд, не нуждаются в комментариях, существует кнопочка «Advanced Options», кликнув на которую, появятся три вкладки: «Web», «Firewall» и «Other».

 

Вкладка «Web» практически ничем не отличается от одноименной вкладки в AtGuard, а «Firewall» отличается только тем, что нельзя выбрать время работы правила, как это можно было сделать в AtGuard. Третья вкладка «Other» позволяет: перечислить порты для мониторинга, по которым работает ваш браузер, заблокировать IGMP протокол, не отвечать на запросы на блокированных портах, заблокировать фрагментированные IP пакеты, включить автоматическую конфигурацию межсетевого экрана под вашу систему.

 

Но после года использования AtGuard в Norton Personal Firewall мне не хватало:

Возможности вырезать баннеры (для этих целей необходимо использовать Norton Internet Security);

Режима запуска фаервола при входе в Сеть (NPF загружается либо при запуске Windows, либо вручную).

 

Огорчил относительно большой размер инсталляции (в 7 раз превосходящий инсталляцию AtGuard), но это объясняется наличием Windows Installer под Win9x и WinNT, LiveUpdate, LiveReg и User’s Guide в PDF формате.

 

В целом же, у меня остались приятные впечатления от работы с Norton Personal Firewall, вот уже неделю отлично заменяющего мне «старика» AtGuard.

 

Проверка эффективности защиты

 

Надеюсь, что я вас уговорил установить средства защиты на свой ПК и теперь самое время проверить их эффективность и убедиться, что сделано все верно.

 

Можно, конечно, зайти на какой-то чат или IRC-канал и предложить, что бы вас «хакнули», иначе вы сами «всех похакаете». Думаю, это будет неплохой проверкой в условиях, приближенных к боевым. Если же вас такой «подход» не устраивает, то вам прямая дорога на сайты, предлагающие бесплатные проверки на защищенность вашего компьютера в он-лайне.

 

Я рассмотрю только один такой ресурс, но если вдруг кому-то покажется мало, то милости просим на www.firewall-net.com/link/en/test/index.htm.

 

Итак, загружаем любимый браузер, отправляемся на http://grc.com/x/ne.dll?bh0bkyd2 и решительно приступаем к проверке безопасности, щелкнув на кнопке «Test My Shields!».

 

После быстрой попытки достучаться на мой ПК через 139-й порт и соединиться с NetBIOS протоколом, я узнал, что, «похоже, 139-й порт у меня не существует» и, «that's very cool!». С NetBIOS тоже ничего не вышло, но было замечено, что «существенная персональная информация все еще просачивается из вашей системы и доступна любопытным вторгшимся». Существенной информацией оказалось имя пользователя, имя компьютера и название рабочей группы.

 

Если вы не имеете привычки вместо своего имени прописывать свой интернет-логин, в название компьютера — пароли на этот логин, а вместо рабочей группы — номер кредитной карточки, то причин для беспокойства нет. Теперь можно приступать к проверке на открытые/закрытые порты. Щелкаем по «Probe My Ports!» и ждем минуту — другую, пока сервер проверит 21,23,25,79,80,110,113,139,143 и 443 порт.

 

Если вы поставили галочку напротив «Stealth Blocked Port», то все эти порты будут соответственно stealth, т. е. сканер портов будет полагать, что ваш компьютер выключен, разъединен от Сети или не существует вообще.

 

Это самый лучший вариант, при котором ваш межсетевой экран действует подобно черной дыре для TCP/IP пакетов.

 

Статус порта «сlosed» позволяет обнаружить ваш ПК, но закрытые порты не дадут возможность подключения к компьютеру.

 

Открытый (open) порт — наихудший из всех возможных вариантов. Это большая потенциальная дыра, угрожающая вашей безопасности. Порт может быть открыт в случае запущенных на этих портах сервисах (например, если у вас стоит http, ftp или почтовый сервер), либо при наличии «троянского коня» на вашем компьютере. Кстати, неплохую он-лайн-проверку на открытые троянцами порты предлагает Symantec (http://security2.norton.com/us/intro.asp?venid=sym&langid=us).

 

Безопасного вам серфинга!

 

dunskiy@ee.ntu-kpi.kiev.ua

2004.04.06
19.03.2009
В IV квартале 2008 г. украинский рынок серверов по сравнению с аналогичным периодом прошлого года сократился в денежном выражении на 34% – до $30 млн (в ценах для конечных пользователей), а за весь календарный год – более чем на 5%, до 132 млн долл.


12.03.2009
4 марта в Киеве компания Telco провела конференцию "Инновационные телекоммуникации", посвященную новым эффективным телекоммуникационным технологиям для решения задач современного бизнеса.


05.03.2009
25 февраля в Киеве компания IBM, при информационной поддержке "1С" и Canonical, провела конференцию "Как сохранить деньги в условиях кризиса?"


26.02.2009
18-19 февраля в Киеве прошел юбилейный съезд ИТ-директоров Украины. Участниками данного мероприятия стали ИТ-директора, ИТ-менеджеры, поставщики ИТ-решений из Киева, Николаева, Днепропетровска, Чернигова и других городов Украины...


19.02.2009
10 февраля в Киеве состоялась пресс-конференция, посвященная итогам деятельности компании "DiaWest – Комп’ютерний світ" в 2008 году.


12.02.2009
С 5 февраля 2009 г. в Киеве начали работу учебные курсы по использованию услуг "электронного предприятия/ учреждения" на базе сети информационно-маркетинговых центров (ИМЦ).


04.02.2009
29 января 2009 года в редакции еженедельника "Computer World/Украина" состоялось награждение победителей акции "Оформи подписку – получи приз!".


29.01.2009
22 января в Киеве компания "МУК" и представительство компании Cisco в Украине провели семинар для партнеров "Обзор продуктов и решений Cisco Small Business"

 

 
 
Copyright © 1997-2008 ИД "Комиздат".