Сергей Акимович Яремчук Защита вашего компьютера
Вместо введения
Трудно сказать, что устроено сложнее: современный автомобиль, способный мчаться со скоростью сотен километров в час, или небольшой ящик, стоящий под столом и весело подмигивающий разноцветными лампочками. Чтобы управлять машиной, человек должен пройти подготовку и сдать экзамены, после чего получить заветные права, подтверждающие его знания и умения. При покупке же персонального компьютера никто и не подумает поинтересоваться, умеете ли вы на нем работать. Вероятно, такое различие связано с тем, что, выезжая на дорогу, неподготовленный водитель может представлять угрозу для жизни людей, и лучшее тому доказательство – автомобиль, летящий на красный свет.
Все, что происходит в виртуальном мире, неосязаемо. Следовательно, и опасности, которые могут подстерегать вас здесь, трудно понять и тем более ощутить. Но они есть. Каждый день появляются сообщения о проделках неуловимых хакеров, вирусных атаках, краже банковской и персональной информации и прочих опасностях.
Компьютер давно перестал быть чем-то диковинным и недоступным – сегодня его можно встретить практически в каждом доме. Однако если на входной двери привычно видеть замок, охраняющий хозяев от непрошеных гостей, то виртуальный вход часто бывает совсем не защищен. Конечно, с современным компьютером сможет справиться каждая домохозяйка, но события последних лет показывают, что для безопасной работы умения двигать мышью явно недостаточно.
В отчете, недавно опубликованном корпорацией Microsoft, сообщается, что более 60 % всех компьютеров заражены вирусами или находятся под контролем злоумышленников. Вдумайтесь в эту цифру: получается, что почти каждый второй компьютер вышел из-под контроля хозяина и представляет опасность для остальных. В некоторых странах уже действуют законы, позволяющие отдать под суд владельца компьютера, с которого рассылались вирусы или спам. Однако проблема в том, что пользователь, возможно, и не догадывается о «тайной жизни» своей машины.
Цифры, опубликованные Microsoft, наверняка приблизительны, и узнать точное количество зараженных компьютеров вряд ли возможно. Но приведенная статистика явно указывает на то, что современному пользователю необходимо обладать знаниями, позволяющими отличить реальную угрозу от рекламных трюков и главное – надежно защитить компьютер от непрошеных гостей.
От издательства
Ваши замечания, предложения и вопросы отправляйте по адресу электронной почты dgurski@minsk.piter.com (издательство «Питер», компьютерная редакция).
Мы будем рады узнать ваше мнение!
На сайте издательства вы найдете подробную информацию о наших книгах.
Глава 1 Защищенность компьютеров: мифы и реальность
История возникновения компьютерных вирусов
Что такое вирус
Разновидности компьютерных вирусов
Вирусные мистификации
Что за зверь – троянский конь?
Новаторские подходы хакеров – руткиты (rootkits)
Уязвимости программ и хакерские технологии
1.1. История возникновения компьютерных вирусов
Если бы разработчики первых компьютеров, сетей и сетевых протоколов могли заглянуть в будущее, то, вполне вероятно, проблем с защищенностью информации сегодня было бы меньше. Первоначально компьютеры занимали целые здания, стоили дорого и были доступны только крупным государственным и частным компаниям. Со временем возникла необходимость обмениваться информацией – так появились первые сети. В то время компьютеры были закрытыми системами и управлялись серьезными, увлеченными своим делом людьми в белых халатах, поэтому тогда никто не помышлял о хулиганстве и разрушениях.
К сожалению, история умалчивает о многих фактах, связанных с зарождением компьютерного вредительства, но кое-что все-таки дошло до наших дней. Декабрь 1949 года можно считать началом возникновения компьютерных вирусов. Именно тогда в Илинойсском университете Джон фон Нейман читал серию лекций «Теория и организация сложных автоматов», которая и легла в основу теории самовоспроизводящихся автоматов. Однако это была теория. Первым действующим вирусом можно назвать игру Darwin (/~doug/darwin.pdf), которую изобрели в 1961 году сотрудники компании Bell Telephone Laboratories В. А. Высотский, Х. Д. Макилрой и Р. Моррис.
Программы, написанные на ассемблере (языков высокого уровня еще не было) и называемые «организмами», загружались в память компьютера и сражались за ресурсы. Они захватывали жизненное пространство, пытаясь уничтожить противника. За этим процессом наблюдало приложение-«судья», определявшее правила и порядок борьбы соперников. Программист, разработка которого захватывала всю память компьютера, побеждал. Все это было не более чем экспериментом: участников интересовал сам процесс.
Следующий этап – самоперемещающаяся программа Creeper, созданная в начале 1970-х годов сотрудником компании BBN Бобом Томасом для подсистемы RSEXEC с целью продемонстрировать возможность самопроизвольного перемещения программ между компьютерами. Creeper не приносил вреда: предыдущая копия уничтожалась, а вирус перемещался на следующий компьютер.
В это время была разработана еще одна программа – Reaper, которую можно считать первым антивирусом. Перемещаясь по сети, Reaper отыскивал действующие копии Creeper и прекращал их работу.
В 1970 году произошло еще одно знаковое событие. В мае в журнале Venture был опубликован фантастический рассказ Грегори Бенфорда, в котором было приведено одно из первых описаний вирусных и антивирусных программ – Virus и Vaccine. Через два года в фантастическом романе «Когда Харли был год» Дэвида Герролда были описаны программы, захватывающие системы подобно червям. Сам термин «червь» был впервые использован в романе Джона Браннера «На шоковой волне», опубликованном в 1975 году.
Термин «компьютерный вирус» был впервые использован в 1973 году в фантастическом фильме Westworld. Данное словосочетание употреблялось в значении, привычном для современного человека, – «вредоносная программа, внедрившаяся в компьютерную систему».
Наконец, 20 апреля 1977 года был выпущен компьютер, предназначенный для массового использования. Условия для реализации самовоспроизводящихся программ заметно улучшились.
В 1980-х годах компьютеры значительно подешевели и их количество увеличилось. Кроме того, машины стали более производительными, а энтузиастов, получивших к ним доступ, стало намного больше.
Неудивительно, что это десятилетие стало более богатым на события в компьютерном мире. Были проведены эксперименты по созданию самовоспроизводящихся программ и программ-червей; появились программы Elk Cloner и Virus, которые считаются первыми компьютерными вирусами. Если раньше экспериментальные образцы никогда не покидали компьютеры, на которых они запускались, то новые программы были обнаружены «на свободе» – на компьютерах вне лаборатории.
Дальнейшее развитие событий напоминало лавину. В 1987 году появился первый вирус, заражающий IBM PC-совместимые компьютеры под управлением MS-DOS, – Brain. Этот вирус был достаточно безвредным: его действие заключалось в изменении метки на дискетах в 360 Кбайт. Brain был написан двумя пакистанскими программистами, владельцами компании Brain Computer Services (отсюда и название вируса), исключительно в рекламных целях, но на его основе были созданы менее миролюбивые особи. В том же 1987 году появился Jerusalem («иерусалимский вирус»), запрограммированный на удаление зараженных файлов по пятницам 13-го. Первые его версии содержали ошибку, благодаря которой он повторно действовал на уже зараженные файлы. В последующих версиях ошибка была исправлена.
Хотя к тому времени уже появились материалы, посвященные безопасности информации, все это воспринималось не более чем игрушкой, экспериментом. Прозрение наступило неожиданно, когда эта «игрушка» перестала повиноваться и повела себя как разумный организм, заражающий все на своем пути. Это произошло 2 ноября 1988 года, когда студент Корнельского университета Роберт Моррис-младший запустил программу-червь, которая сохранилась в истории под именем своего разработчика. Червь Морриса стал первым сетевым червем, успешно распространившимся «на свободе», и одной из первых известных программ, эксплуатирующих такую уязвимость, как переполнение буфера.
За каких-то полтора часа вредителю удалось заразить около 6 тыс. машин. Произошедшее повергло общественность в шок: вирусы гуляли по Сети и ранее, но заразить каждый десятый компьютер до сих пор не удавалось никому. Срочно были пересмотрены требования к безопасности систем и созданы институты вроде CERT (Computer Emergency Response Team – команда по ответам на непредвиденные компьютерные ситуации), которые стали заниматься безопасностью компьютеров и давать рекомендации по устранению вирусов.
Компьютеры становились все доступнее. Со временем большинство платформ и операционных систем унифицировалось, на рынке стали преобладать Intel-совместимые компьютеры, которые работали под управлением операционной системы, разработанной компанией Microsoft. Дальнейшие события развивались с огромной скоростью. В 1991 году появился полиморфный вирус, видоизменявший свое тело. Операционная система Windows 95 была практически готова, и ее beta-версию разослали 160 тестерам. Все диски оказались зараженными загрузочным вирусом Form, и только один тестер не поленился проверить диск антивирусом. В пресс-релизе, посвященном выходу принципиально новой операционной системы, было сказано, что она полностью защищена от вирусов всех типов. Через несколько месяцев эти заявления были разнесены в пух и прах неожиданным подарком – первым макровирусом, представлявшим собой не привычный исполняемый файл, а сценарий, который заражал документы Microsoft Word. В течение месяца макровирус Сoncept облетел вокруг земного шара, внедрился в компьютеры пользователей Microsoft Word и парализовал работу десятков компаний по всему миру.
Примечание
На сегодняшний момент известно около 100 модификаций вируса Сoncept.
В январе 1996 года появился первый вирус для операционной системы Windows 95 – Win95.Boza, а резидентный вирус Win95.Punch, появившийся позже, окончательно подорвал доверие пользователей к Windows 95. В марте этого же года началась первая эпидемия вируса Win.Tentacle, написанного для Windows 3.0/3.1. Он заразил компьютерную сеть в нескольких учреждениях Франции. До этого все Windows-вирусы хранились только в коллекциях и электронных журналах вирусописателей, на свободе гуляли лишь написанные для MS-DOS загрузочные и макровирусы. В этом же году был пойман макровирус Laroux, написанный для Microsoft Excel.
В 1997 году на свет появились новые виды вирусов – FTP– и mIRC-черви, в июне 1998 года – вирус Win95.CIH. Этот вирус активизировался 26 апреля (впервые – в 1999 году) и уничтожал информацию на жестком диске, записывая на него мусор. Кроме того, он перезаписывал Flash BIOS, если переключатель находился в положении, разрешающем запись, и выводил из строя материнскую плату.
Примечание
Эпидемия вируса Win95.CIH, также известного как «Чернобыль» и поразившего компьютеры 26 апреля 1999 года, была на тот момент самой разрушительной.
Червь I love you, выпущенный на Филиппинах в мае 2000 года, нанес владельцам компьютеров ущерб на сумму, по некоторым оценкам превышающую $10 млрд. Следующий червь, вошедший в историю как Code Red, за 14 часов сумел заразить более 300 тыс. компьютеров, подключенных к Интернету. После них были и другие, часто – первые в определенной категории. Например, Nimda (слово admin, прочитанное наоборот), многовекторный червь, распространялся сразу несколькими способами, включая «черные ходы», оставленные другими червями. MyDoom был признан самым быстрым червем, распространяющимся по электронной почте.
До этого большая часть вирусов была написана на языке низкого уровня – ассемблере, позволявшем создать небольшой оптимизированный вирус. Автором червя AnnaKournikova, который поразил Интернет в феврале 2001 года, оказался голландский студент, который вообще не умел программировать, даже на таком простом языке, как Basic.
Сегодня общие годовые потери всех коммерческих организаций от действий вирусов могут сравниться с бюджетом небольшой страны, и эта сумма каждый год удваивается. Заявления некоторых специалистов по безопасности свидетельствуют о серьезности проблемы. По сведениям главы технологического департамента компании MessgeLabs (/) Алекса Шипа, в 1999 году фиксировалось в среднем по одному новому вирусу в час, в 2000 году эта цифра составляла уже по одной программе каждые три минуты, а в 2004 году это время сократилось до нескольких секунд. По данным СанктПетербургской антивирусной лаборатории И. Данилова (ООО «СалД»), только за март 2007 года в антивирусную базу добавлено более 7 тыс. записей.
Игра Darwin продолжается…
1.2. Что такое вирус
Как бы странно это ни звучало, компьютерный вирус – программа и, как правило, небольшая по размеру. Все дело в назначении и способе распространения. Обычная программа выполняет полезную работу, стараясь не нарушить функционирование операционной системы. Чаще всего пользователь устанавливает ее самостоятельно. В случае с вирусом все наоборот. Задача, которую ставит его создатель, состоит в том, чтобы нарушить работоспособность компьютера, удалить, повредить, а иногда и зашифровать важную информацию с целью получения выкупа. Вирусы распространяются между компьютерами по сети, замедляя их работу, перегружая каналы и блокируя работу сервисов.
Внимание!
Главная особенность любого вируса – умение самопроизвольно размножаться и распространяться без участия пользователя.
Размножение вируса происходит за счет того, что он «дописывает» собственный код к другим файлам либо по сети передает свое тело другому компьютеру.
Главная задача вируса – заразить максимальное количество компьютеров. Сегодня написать вирус может любой, было бы желание и наличие специальных конструкторов, не требующих особых знаний, в том числе и по программированию. Однако долго такой вирус не протянет (хотя бывают и исключения: вспомним AnnaKournikova). Реализациям алгоритмов выживания и заражения посвящены целые журналы, причем некоторые подходы вызывают восхищение.
Для маскировки вирус может заражать другие программы и наносить вред компьютеру не всегда, а только при определенных условиях. Он сканирует диск в поисках исполняемых файлов (обычно такая чрезмерная активность выдает присутствие вируса) либо, находясь в оперативной памяти, отслеживает обращения к таким файлам. Выполнив нужные действия, вирус передает управление программе, в теле которой находится, и она начинает работать как обычно.
Вирус старается заразить максимальное количество файлов, отдавая предпочтение сменным носителям и сетевым ресурсам. Почему? А все потому, что ему нужно выжить: ведь всегда есть вероятность, что в сетевую папку зайдет пользователь с другого компьютера. Именно поэтому, попав на компьютер, многие вирусы не сразу занимались разрушением (зачем же уничтожать себя, любимого?), а прежде всего устанавливали счетчик успешно зараженных файлов. Пока в компьютере было заражено относительно мало программ, наличие вируса могло оставаться незамеченным. Система работала быстро, на экране не появлялось никаких сообщений, и пользователь редко замечал что-то необычное. Однако когда показатель на счетчике вируса достигал нужного значения, вредитель начинал действовать.
В начальный период существования вредоносных программ были популярны вирусы-шутки, которые мешали работе пользователей. Деструктивные особи практически не встречались. Например, такие программы просили дополнительной памяти («пирожка» и т. п.), и экран блокировался, пока пользователь не вводил с клавиатуры нужное слово (иногда его нужно было угадать). Лично я сталкивался с вирусом, который при обнулении счетчика не давал запустить приложение Microsoft Word с 18:00 до 09:00, мотивируя это тем, что работать нужно в рабочее время. Были и курьезы. Например, вирус, который выводил на экран сообщение вроде: «Нажмите одновременно L + A + M + E + R + F1 + Alt». Пользователь нажимал, после чего появлялось сообщение о том, что таблица разделов стерта с жесткого диска и загружена в оперативную память и если пользователь отпустит хотя бы одну клавишу, то со своей информацией он может проститься, а если просидит так ровно час, то все будет в порядке. Через час оказывалось, что это была шутка. Ничего себе шуточки…
Массовое распространение персональных компьютеров привело к появлению людей, которых интересовал не сам процесс создания вируса, а результат, наносимый вредоносной программой. Изменились и шутки: вирусы начали реально форматировать диски, стирать или кодировать важную информацию. Некоторые приложения использовали недостатки оборудования и портили его, например выстраивали лучи монитора в одну точку, прожигая его (надежность устройств в то время оставляла желать лучшего), или ломали жесткие диски, гоняя считывающую головку по определенному алгоритму.
На сегодня в мире вирусов наметилась явная коммерциализация: данные в большинстве случаев не уничтожают, а пытаются украсть. Например, популярность онлайн-игр привела к появлению вирусов, специализирующихся на краже паролей к учетным записям игроков, так как виртуальные ценности, заработанные в игре, можно продать за реальные деньги.
1.3. Разновидности компьютерных вирусов
Пришло время ознакомиться c особенностями работы некоторых вирусов – хотя бы для того, чтобы, узнав о начале очередной эпидемии, не спешить отключать кабель, ведущий к модему.
Точную классификацию вирусов и других вредоносных программ до сих пор никто не придумал. Вирус часто нельзя отнести ни к одной из категорий. Кроме этого, антивирусные компании вводят свою терминологию, по-разному обозначая новый вирус. Однако по некоторым общим признакам вредоносные программы можно разделить на группы.
По среде обитания. Первая классификация относится к среде, в которой «живет» вирус.
• Первые вирусы, которые были популярны до массового распространения Интернета, – файловые. Их еще называют традиционными. Сегодня известны программы, заражающие все типы исполняемых файлов в любой операционной системе. Например, в Windows опасности подвергаются в первую очередь исполняемые файлы с расширениями EXE, COM и MSI, драйверы (SYS), командные файлы (BAT) и динамические библиотеки (DLL). C механизмом заражения такими вирусами и их распространением вы познакомились в предыдущем разделе.
• Загрузочные вирусы также появились одними из первых. Как видно из названия, такие вирусы заражают не файлы, а загрузочные секторы дискет и жестких дисков.
• С массовым развитием Интернета появились сетевые вирусы. По данным антивирусных компаний, именно различные виды сетевых червей представляют сегодня основную угрозу. Главная их особенность – работа с различными сетевыми протоколами и использование возможностей глобальных и локальных сетей, позволяющих им передавать свой код на удаленные системы.
Классическим примером сетевого вируса является червь Морриса, рассмотренный в разделе 1.1.
Наибольшую распространенность получили сетевые черви, использующие электронную почту, интернет-пейджеры, локальные и файлообменные (P2P) сети, IRC-сети и сети обмена данными между мобильными устройствами. Некоторые сетевые черви, например W32.Slammer или Sapphire, использующий уязвимость Microsoft SQL Server 2000, могут не оставлять на жестком диске никаких следов, хранясь только в оперативной памяти. Благодаря способности активно распространяться и работать на зараженных компьютерах без использования файлов подобные вирусы наиболее опасны. Они существуют исключительно в системной памяти, а на другие компьютеры передаются в виде пакетов данных. Первое время антивирусное программное обеспечение не было способно бороться с такими бестелесными вредителями.
Внимание!
Сетевые и почтовые вирусы наиболее опасны, так как способны за короткое время заразить большое количество систем.
• Сегодня наиболее популярны сетевые вирусы, распространяющиеся посредством электронной почты, поэтому их часто выделяют в отдельную категорию – почтовые черви. Так, три из четырех крупнейших эпидемий 2005 года были вызваны именно почтовыми червями. Такие вирусы чаще всего распространяются через электронную почту: они рассылают по адресам, имеющимся в адресной книге, письма с прикреплениями в виде самих себя. Для передачи могут использоваться средства операционной системы или небольшой встроенный почтовый сервер (функция такого сервера – отправка писем).
Например, червь Melissa отсылал себя сразу после активизации только по первым 50 адресам, а I Love You использовал все записанные в адресной книге почтовые адреса, что обеспечило ему высокую скорость распространения. Другой тип червя – сценарий KakWorm, который после прочтения зараженного письма не рассылался, а прикреплялся к каждому посланию, отправляемому пользователем. При этом на новом компьютере вредоносное приложение либо выполнялось автоматически, используя уязвимости в почтовой программе, либо различными способами подталкивало пользователя к своему запуску. Зараженное письмо может прийти со знакомого адреса, и пользователь, скорее всего, откроет его. Могут применяться различные ухищрения. Например, вирус AnnaKournikova приглашал посмотреть фотографии известной теннисистки Анны Курниковой: любопытство чаще всего брало верх над осторожностью, и пользователи запускали прикрепленный к письму исполняемый файл.
Совет
Будьте осторожны с письмами, полученными от неизвестных людей. Открывайте файлы, прикрепленные к таким письмам, только после проверки антивирусом.
• Очень часто встречаются вирусы смешанного типа – почтово-сетевые. В таком случае их обычно называют просто сетевыми. Яркий пример – сетевой червь Mytob.c, который в марте 2005 года пересылался в виде вложений в электронные письма и использовал для своего распространения уязвимость в сервисе LSASS Microsoft Windows.
Черви – наиболее опасный тип вирусов. Они распространяются очень быстро и способны поражать файлы, диски и оперативную память. Правильно написанный червь может парализовать работу Интернета либо перегрузив каналы, либо заразив серверы. Например, Slammer сумел поразить почти четверть Интернета. В этом случае поражает беспечность фирмы-разработчика, так как об уязвимости, которая была использована автором Slammer, было известно еще за полгода до атаки. Интересно, что не один год до этого почтовые черви с успехом использовали уязвимость Microsoft Internet Explorer, позволяющую запускать любой исполняемый файл, пришедший вместе с электронным письмом, без согласия пользователя.
• Макровирусы являются программами, написанными на макросах – последовательностях команд, используемых в некоторых системах обработки данных, например текстовых редакторах и электронных таблицах. Возможности макроязыков в таких системах позволяют вирусу переносить свой код в другие файлы, заражая их. Наибольшее распространение получили макровирусы для Microsoft Word и Excel. Такой вирус активизируется при открытии зараженного документа и переносится на компьютер, как правило, внедряясь в шаблон Обычный (файл Normal.dot). После этого каждый сохраняемый документ заражается вирусом, а когда другие пользователи открывают его, их компьютеры также инфицируются. Существуют также макровирусы, заражающие базы данных Microsoft Access.
Традиционные и макровирусы сегодня практически вымерли, так как скорость их распространения значительно ниже, чем скорость распространения сетевых вирусов, и у антивирусных компаний достаточно времени, чтобы создавать вакцину против таких вредителей. Однако это совсем не значит, что угроза миновала и такие вирусы не стоит брать в расчет.
По алгоритму работы. Например, существуют резидентные и нерезидентные вирусы.
• Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, чтобы перехватывать все обращения операционной системы к объектам, пригодным для заражения. Это наиболее распространенный тип вирусов: они активны не только во время работы зараженной программы, но и – что наиболее важно – когда приложение закрыто. Резидентные вирусы постоянно находятся в памяти компьютера и остаются активными вплоть до его выключения или перезагрузки.
• Нерезидентные вирусы не заражают память компьютера и сохраняют активность лишь ограниченное время, хотя возможны варианты. Однако нерезидентные вирусы сегодня практически не встречаются, они не способны к быстрому размножению. Можно сказать, что они не выдержали конкуренции своих более активных собратьев.
Примечание
Хочется еще раз обратить внимание на понятия «резидентность» и «файловый вирус». Несколько раз мне приходилось наблюдать настоящую панику, вызванную тем, что файл, который кто-то принес на дискете, заражен вирусом. Несмотря на то что некоторые вирусы могут спокойно размножаться без участия пользователя, файловые, загрузочные и макровирусы (резидентные и нерезидентные) не способны распространяться без помощи человека. Чтобы такой вирус начал разрушительную работу, его необходимо активизировать. Находясь на дискете или жестком диске, он разве что будет вызывать раздражение антивирусной программы, и, если пользователь сам не запустит его, нерезидентный вирус не принесет вреда.
Десятки вирусов этого типа хранятся у меня в отдельной папке для тестирования и изучения антивирусных программ, и за несколько лет ни одному из них не пришло в голову активизироваться самостоятельно, поэтому дискета с зараженным файлом не должна вызывать панику, следует оценить ситуацию и принять правильное решение – удалить потенциально опасный файл или попробовать вылечить его с помощью антивируса.
• Первые антивирусные программы очень быстро находили вирус по его уникальной сигнатуре. Чтобы затруднить подобный поиск, создатели вредоносных программ стали шифровать тела вирусов. В результате появились вирусы, названные полиморфными.
• В литературе часто упоминаются стелс-вирусы (stealth – невидимка), которые были распространены во времена MS-DOS. Они применяют множество средств, чтобы скрыть свое присутствие в системе. Определить наличие таких вирусов без соответствующего инструментария практически невозможно.
Сегодня для маскировки своего присутствия в системе вирусы используют руткит-технологии (о них будет рассказано позже). Вирусы можно подразделить также по следующим критериям:
• по методу заражения (вирусы-паразиты, компаньоны и др.);
• типу операционной системы (Windows, Unix, Linux, MS-DOS, Java);
• деструктивной возможности (от безвредных, просто мешающих работе, до крайне опасных);
• языку, на котором написан вирус (ассемблер, язык сценариев и др.).
Вирусы могут использовать различные упаковщики, позволяющие превратить известный код в практически неузнаваемый.
Каждый вирус имеет собственное имя. Вы слышите его, когда узнаете об очередной эпидемии. Откуда берется имя? Обнаружив новый вирус, антивирусные компании дают ему имена в соответствии с классификациями, принятыми в каждой конкретной компании, причем классификация у каждой фирмы своя. Посмотрите сами: например, Worm.Win32.Nuf – это то же самое, что Net-Worm.Win32.Mytob.c. Часто название дается по некоторым внешним признакам:
• по месту обнаружения вируса (Jerusalem);
• содержащимся в теле вируса текстовым строкам (I Love You);
• методу подачи пользователю (AnnaKournikova);
• эффекту (Black Friday).
Бывает так, что вирус несколько раз переименовывают. Например, это касается «иерусалимского вируса». Изначально его назвали по месту обнаружения – Israeli, затем решили, что это название слишком антисемитское, и заменили его на «1813» (по размеру вируса), при этом параллельно использовалось другое имя – IDF (Israeli Defence Forces), и только через некоторое время вирус назвали Jerusalem.
Кстати
Самым маленьким по размеру вирусом считается Repus (Win95.с) – всего 156 байт (существуют, однако, и более тяжеловесные модификации, вплоть до 256 байт). Для уменьшения размера этого вируса используются различные программные хитрости и уловки; вреда он не приносит, и все программы работают без проблем. При этом есть как резидентные, так и нерезидентные представители Repus (Win95.с). Помимо малого размера, Repus стал первым вирусом, использующим для своего размножения кэш-память Windows. Он ищет в кэш-блоках заголовки файлов, записывается в них и устанавливает для блоков атрибут dirty, который дает системе команду сохранить его на диск. Подобная методика позволяет даже нерезидентному варианту распространяться со скоростью резидентного вируса.
Одним из самых интересных является вирус I-Worm.Hybris (Vecna), получивший в июле 2002 года четвертую категорию опасности. Он распространяется посредством электронной почты. В первую очередь этот вирус заражает системный файл wsock32.dll, получая доступ ко всему интернет-трафику, а затем рассылает себя по полученным таким образом почтовым адресам. Самое интересное, что этот вирус может самостоятельно обновляться через Интернет, скачивая с новостной конференции alt.comp.virus плагины, дающие ему новые возможности.
Количество сигнатур в антивирусных базах многих производителей уже перевалило 400-тысячную отметку и постоянно растет.
1.4. Вирусные мистификации
Уважаемый получатель, Вы только что получили вирус «ТАЛИБАН».
Поскольку мы в Афганистане не так уж и продвинуты в технологиях, этот вирус следует исполнять вручную. Пожалуйста, перешлите это письмо всем, кого знаете, и уничтожьте все файлы на Вашем жестком диске собственноручно. Большое спасибо за помощь.
Абдулла, хакер из ТалибанаИсторию развития компьютерных систем нельзя назвать веселой. В первые годы антивирусы были несовершенны, а пользователи еще не владели достаточной информацией, но уже представляли, какую угрозу несут компьютерные вирусы. Вероятно, поэтому каждое сообщение о появлении нового вируса вызывало панику. Со временем у пользователей появился другой, не менее опасный синдром – вирусные мистификации. Хотя первые вирусные мистификации начали появляться приблизительно в 1988 году, а расцвет пришелся на конец 1990-х, рассказать об этом явлении стоит, так как мы не застрахованы от него и сегодня, когда скорость распространения любой информации на порядок выше.
Выглядит это приблизительно так. Злоумышленник либо случайный человек пишет предупреждение о том, что он обнаружил опасный вирус либо подозрительный файл, и помещает это сообщение в конференцию или рассылает по электронной почте максимальному количеству людей. На самом деле никакого вируса нет. Прочитавший такое письмо пользователь спешит предупредить своих товарищей (часто такой совет присутствует в самом послании). Дальнейшее развитие событий подобно вирусной эпидемии: поток корреспонденции увеличивался лавинообразно, так как напуганные пользователи из лучших побуждений спешат предупредить об «опасности» коллег и партнеров по бизнесу. Результатом является вирусная истерика, которая систематически сотрясает компьютерный мир, принося напрасное беспокойство тысячам людей.
Первой действительно удачной мистификацией следует считать вирус Good Times, появившийся в 1994 году в сети AOL. Все началось с того, что кто-то разослал сообщение с предупреждением: ни в коем случае нельзя было читать электронное письмо с заголовком Good Times. Это письмо якобы содержало страшный вирус, стирающий информацию на жестком диске. В послании говорилось, что о новом вирусе следует предупредить всех знакомых и сослуживцев. Затем шло подробное описание принципа действия вируса и способа избавиться от него. Стоит ли говорить о том, что такого вируса не существовало и в помине! Кстати, само письмо-предупреждение также имело заголовок Good Times.
Основные идеи Good Times используются и сегодня.
Другая мистификация, появившаяся в том же году, была запущена из меркантильных соображений. Некий Майк Рошенл отправил на несколько BBS-станций сообщения, в которых рассказал о появлении нового вируса, заражающего модемы, работающие на скорости 2400 бод. Народ поверил. В результате спрос и соответственно цены на более медленные модемы – 1200 бод – резко увеличились, а на более быстрые упали.
Следует, однако, отметить, что часто истерика возникала действительно из-за того, что кто-то находил вирус. Например, в 2001 году один из пользователей обнаружил, что файл sulfnbk.exe, лежащий в системной области, заражен вирусом – имеет подозрительное название и странный значок. Когда страсти утихли, выяснилось, что данный файл – это системная утилита, отвечающая за создание резервных копий файлов с длинными именами (название – от System Utility for Long FileName Backup – системная утилита для резервного копирования с сохранением длинных имен файлов), и у конкретного пользователя она действительно была заражена вирусом. Подобная история повторилась через год. Начавшись среди испаноговорящих пользователей Интернета в начале апреля 2002 года, мистификация быстро распространилась на англоговорящих к середине апреля. Под подозрение попал файл jdbgmgr.exe, принадлежавший пакету Visual J++ 1.1. И опять – сомнительный значок, непонятное название и действительно зараженный файл. Однако в данном случае, если пользователь не работал с пакетом Visual J++, работоспособность системы при удалении этого файла не нарушалась.
К чести вирусописателей, эта история не была забыта, и через некоторое время действительно появился вирус, имеющий именно такое имя файла.
В 2002 году появился новый вирус – Perrun (W32/Perrun-A, PE_PERRUN.A, Win32.Perrun, W32/Perrun, W32/Perrun.A), который неизвестные часто присылали на сайты антивирусных компаний, очевидно, как предупреждение: мол, мы и так можем. Этот вирус мог заражать графические файлы и текстовые файлы с расширением TXT. Новость подхватили информационные агентства, и народ, естественно, начал волноваться. При ближайшем рассмотрении оказалось, что для заражения файла и его последующего распространения необходима программа-кодировщик, которая фактически является вирусом и без которой данный вирус можно считать разве что шуткой.
Самая интересная и известная мистификация произошла в 1991 году. Ее автор Роберт Моррис сообщил, что стал жертвой нового вируса, распространяющегося по обычной электрической сети, и рассказал о мерах, которые необходимо принять для защиты от него. По словам Морриса, нельзя было делать следующие вещи:
• включать что-либо в электрические розетки;
• использовать батарейки (поскольку вирус пробрался на заводы по производству батареек и заразил все положительные клеммы готовой продукции);
• передавать друг другу файлы любыми способами;
• читать на компьютере текст, причем совершенно любой, даже сообщение самого Морриса;
• использовать последовательные порты, модемы, телефонные линии, процессоры, системную память, сетевое оборудование, принтеры, мониторы и клавиатуры;
• пользоваться электроприборами, газовыми плитами, водопроводом, огнем и колесным транспортом.
Хорошо, что многие сразу понимали, что это просто шутка.
Как видите, мистификации появляются от недостаточной компьютерной грамотности при огромном желании показать свои знания. Преклонение перед неизвестным часто порождает множество мифов. Чего стоят рассказы о том, что кактус способен защитить от компьютерного (а почему не мониторного?) излучения. Эта шутка появилась в каком-то журнале в номере за 1 апреля. Автор статьи подробно описал размер иголок кактуса, расстояние между ними, высоту и рекомендуемый вид колючего растения, а также наилучшее место для его расположения. Конечно, кактус на мониторе способен разве что улучшить настроение, но никак не остановить излучение.
Мистификации могут принести немалый вред. Перегружаются почтовые серверы, пользователи в панике удаляют системные файлы. Вера в мистификацию может нанести серьезный удар репутации человека или по крайней мере сделать его объектом насмешек: как же, мнил себя суперхакером, а оказался чайником, попавшимся на такую шутку. Кроме того, письма часто приходят с заполненными полями Копия и Кому, поэтому спамеры могут получить подарки в виде реально существующих адресов. Вирусные мистификации могут отвлечь внимание от принятия необходимых мер безопасности, так как после нескольких ложных предупреждений пользователи могут недооценить опасность реальных вирусов.
Как отличить мистификацию от реального вируса?
• Необходимо относиться с большим подозрением к письмам, полученным от неизвестных людей, с какими бы благими намерениями они ни обращались. Откуда у отправителя ваш электронный адрес? Может быть, из базы данных спама?
• Никогда не открывайте вложения к письмам от незнакомых отправителей, иначе у вас появится возможность на себе почувствовать то, о чем вы прочитали в предыдущем разделе.
• Если вы никогда не оставляли свои данные на специализированных сайтах и не регистрировали свою версию антивируса или подобной программы, то к любому письму, полученному от антивирусной лаборатории компании Microsoft или даже лично Била Гейтса, следует относиться с подозрением. С чего это они вдруг написали вам?
• Если письмо содержит подробную техническую информацию, отнеситесь к нему скептически. В описании Good Times говорилось, что процессор будет выведен из строя бесконечным циклом n-й сложности… Если вас просят удалить или запустить какой-то файл, без сомнений удаляйте письмо.
Большие компании дорожат временем, поэтому вместо описания проблемы они, скорее, ограничатся ссылкой на соответствующий сайт. Пусть вас не смущает, что в послании упоминаются известные антивирусные или правительственные организации. Если вы думаете, что вам действительно сообщают о чем-то важном, то, перед тем как начать паниковать, зайдите на сайт данной компании: среди новостей вы обязательно увидите предупреждение об опасности.
В Интернете есть несколько ресурсов, посвященных мистификациям. Самые популярные из них – сайт Роба Розенбергера () и сайт охотников за мистификациями Hoaxbusters (/).
Все ведущие антивирусные компании имеют собственные страницы, посвященные мистификациям. И информацию можно найти на сайте Вирусной энциклопедии (/), Symantec () и McAfee ().
И, конечно же, не забывайте о Google – на то он и поисковик, чтобы все знать!
1.5. Что за зверь – троянский конь?
Практически ни один разговор о компьютерных вирусах не обходится без термина «троянская программа», или «троянец». Чем это приложение отличается от вируса, каково его назначение и чем оно опасно? К этой категории относятся программы, выполняющие несанкционированные действия без ведома пользователя. По характеру действия троянец напоминает вирус: он может красть персональную информацию (прежде всего файлы паролей и почтовые базы), перехватывать данные, введенные с клавиатуры, реже – уничтожать важную информацию или нарушать работоспособность компьютера. Троянская программа может применяться для использования ресурсов компьютера, на котором она запущена, в неблаговидных или преступных целях: рассылки вирусов и спама, проведения DDOS-атак (Distributed Denial of Service – распределенных атак, направленных на нарушение работы сетевых сервисов).
Это могут делать и вирусы. Отличие заключается в том, что часто внешне троянец выглядит как вполне нормальная программа, выполняющая полезные функции. Однако у нее есть и «вторая жизнь», о которой пользователь не догадывается, так как часть функций приложения скрыты. Троянская программа отличается от вируса неспособностью к самораспространению: она не может сама копироваться на другие компьютеры, ничего не уничтожает и не изменяет в компьютере пользователя (кроме функций, которые нужны для ее запуска). Троян может прокрасться к ничего не подозревающему пользователю под видом ускорителя Интернета, очистителя дискового пространства, видеокодека, плагина к проигрывателю Winamp или исполняемого файла, имеющего двойное расширение.
Примечание
Хотя, в отличие от вируса, троянец не способен к саморазмножению, от этого он не становится менее опасным.
В последнем случае может прийти письмо с просьбой посмотреть фотографию и прикрепленным файлом вроде superfoto.bmp.exe (как вариант, после BMP может быть большое количество пробелов, чтобы пользователь ничего не заподозрил). В итоге получатель сам устанавливает вредоносную программу. Отсюда произошло название таких приложений: вспомните, как ахейцы захватили Трою. Город был хорошо укреплен, ахейцы долго не могли его взять и обманули защитников. Для жителей Трои конь был символом мира, и ахейцы, якобы для примирения, построили деревянную статую коня, внутрь которой посадили своих лучших воинов. Ничего не подозревающие троянцы затащили подарок в город, а ночью ахейцы вылезли из статуи, обезвредили стражу и открыли ворота, впустив основные силы.
Размножению троянской программы может способствовать сам пользователь, копируя его друзьям и коллегам. Возможен вариант, когда программа попадает на компьютер пользователя как червь, а далее работает как троян, обеспечивая создателю возможность дистанционного управления зараженным компьютером. Чаще всего такие программы все-таки относят к червям.
Запустившись, троянец располагается в памяти компьютера и отслеживает запрограммированные действия: крадет пароли для доступа в Интернет, обращается к сайтам, накручивая чьи-то счетчики (за что пользователь платит лишним трафиком), звонит на платные, часто дорогие, телефонные номера, следит за действиями и привычками хозяина компьютера и читает его электронную почту.
Современные троянцы, как правило, уже не тащат все подряд. Они целенаправленно занимаются сбором конкретной информации. Например, «банковские» шпионы крадут номера кредитных карточек и других банковских данных. В связи с ростом популярности интернет-игр появился интерес к краже игровых предметов или персонажей, цена которых порой доходит до нескольких тысяч долларов, поэтому кража учетных записей для мошенников не менее привлекательна, чем кража банковских атрибутов.
Отдельно следует упомянуть Trojan-Downloader и Trojan-Dropper, которые используются для установки на компьютеры троянских, рекламных (adware) или порнографических (pornware) программ. Кроме того, троянцы часто используются для создания троянских прокси-серверов или даже целых зомбисетей для рассылки спама или вирусов.
Как определить, что в системе поселилась троянская программа? Во-первых, согласитесь, странно, когда только что установленный плагин к Winamp не обнаруживается в списке. Во-вторых, при инсталляции трояна может быть выведено сообщение, причем как об успешном окончании установки (вроде Internet Exsplorer already patched), так и, наоборот, говорящее о том, что утилита не установлена, потому что системная библиотека несовместима с версией программы либо архив поврежден. Возможно, будут также выведены рекомендации по устранению ошибки. После долгих мучений пользователь вряд ли получит ожидаемый результат, скорее всего, оставит все попытки и будет пребывать в уверенности, что это полезная программа, которая просто не запустилась по непонятным причинам. Троянец тем временем пропишется в автозапуске. Например, в Windows необходимо быть внимательным к следующим веткам реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunservicesOnce
Возможно помещение ярлыка трояна в папку Автозагрузка (это встречается очень редко, так как присутствие вредоносной программы в этой папке легко обнаружить) или запись в файлы autoexec.bat, win.ini, system.ini. Часто разработчики принимают меры, чтобы трояна не было видно в окне Диспетчер задач, выводимом нажатием сочетания клавиш Ctrl+Alt+Delete. Наиболее сложные троянские программы умеют самостоятельно обновляться через Интернет, прятаться от антивирусов и расшифровывать файлы паролей. Управлять троянцем можно несколькими способами – от прямого подключения к компьютеру до проверки определенного сетевого ресурса, на который хозяин посылает e-mail, ICQ и IRC-команды.
Часто троянец состоит из двух частей: клиентской, установленной у хозяина, и серверной, работающей на машине жертвы. Такие программы также называют backdoor (потайной ход). Запустив программу-клиент, злоумышленник проверяет, находится ли сервер в Сети: если отклик получен, то удаленным компьютером можно управлять как своим.
Учитывая неумение троянских программ распространяться самостоятельно, простым и эффективным правилом, позволяющим избежать заражения, является загрузка файлов только из надежных источников. Несмотря на то что, в отличие от вирусных эпидемий, о троянских эпидемиях пока еще никто не слышал, да и вряд ли услышит, учитывая неспособность этих программ к самостоятельному размножению, они не менее (а, возможно, даже более) опасны, чем вирусы. Ведь часто такие программы создаются для персонального использования, и поэтому сегодняшние антивирусы не могут знать обо всех них. Это означает, что пользователь может долгое время работать на зараженной машине, не подозревая об этом. Чтобы найти троянское приложение, требуются специальные утилиты и наблюдение за сетевой активностью компьютера с помощью штатных средств операционной системы и установленного брандмауэра, о чем будет подробнее рассказано в главе 4.
1.6. Новаторские подходы хакеров – руткиты (rootkits)
Если троянцы, о которых говорилось выше, можно обнаружить с помощью системных утилит, то представители этого класса вычисляются только с помощью специальных утилит.
Руткиты представляют собой более продвинутый вариант троянских коней. Некоторые антивирусные компании не разделяют руткиты и троянцы, относя их к одной категории зловредных программ. Однако троян прячется на компьютере, обычно маскируясь под известную программу (например, Spymaster выдавает себя за приложение MSN Messenger), а руткиты используют для маскировки более продвинутые методы, внедряясь глубоко в систему.
Изначально словом «руткит» обозначался набор инструментов, позволяющий злоумышленнику возвращаться во взломанную систему таким образом, чтобы системный администратор не мог его видеть, а система – регистрировать. Долгое время руткиты были привилегией Unix-систем, но, как известно, хорошие идеи просто так не пропадают, и в конце ХХ века стали массово появляться руткиты, предназначенные для Microsoft Windows. О руткитах заговорили, только когда на их использовании в своих продуктах была поймана фирма Sony. Сегодня эксперты предсказывают бум этой технологии, и в ближайшие два-три года ожидается массовый рост количества руткитов – вплоть до 700 % в год. Самое печальное, что их будут использовать не только злоумышленники: руткиты станут массово применяться в коммерческих продуктах, в первую очередь для защиты от пиратства. Например, недавно было объявлено, что компания Microsoft создала руткит, обнаружить который невозможно. Не исключено, что это изобретение встретится в новых версиях Windows.
Обычному пользователю от этого не легче. Технология руткитов потенциально может быть использована для создания нового поколения программ-шпионов и червей, обнаружить которые после их проникновения в компьютер будет почти невозможно.
Практически все современные версии руткитов могут прятать от пользователя файлы, папки и параметры реестра, скрывать работающие программы, системные службы, драйверы и сетевые соединения. В основе функционирования руткитов лежит модификация данных и кода программы в памяти операционной системы. В зависимости от того, с какой областью памяти работают руткиты, их можно подразделить на следующие виды:
• системы, работающие на уровне ядра (Kernel Level, или KLT);
• системы, функционирующие на пользовательском уровне (User Level).
Первый известный руткит для системы Windows, NT Rootkit, был написан в 1999 году экспертом в области безопасности Грегом Хоглундом в виде драйвера уровня ядра. Он скрывал все файлы и процессы, в имени которых встречалось сочетание _root, перехватывал информацию, набираемую на клавиатуре, и использовал другие способы маскировки.
Самым известным на сегодня руткитом является Hacker Defender. Эта программа работает в режиме пользователя и маскируется за счет перехвата некоторых API. Hacker Defender может обрабатывать сетевой трафик до того, как он будет передан приложению, то есть любая программа, работающая в сети, может быть использована для взаимодействия со взломщиком. Руткит умеет скрывать файлы и процессы, записи в реестре и открытые порты и может неправильно показывать количество свободного места на диске. Он прописывается в автозагрузку, оставляя для себя черный вход, и прослушивает все открытые и разрешенные брандмауэром порты на предмет 256-битного ключа, который укажет, какой порт использовать для управления. Hacker Defender перехватывает функции запуска новых процессов, что позволяет ему заражать все программы, запускаемые пользователем. Он полиморфен: для шифрования исполняемых файлов руткита обычно используется утилита Morphine.
Примечание
Все современные версии руткитов могут прятать от пользователя файлы, папки и параметры реестра, скрывать программы, системные службы, драйверы и сетевые соединения.
Одним из наиболее опасных руткитов является FU, выполненный частично как приложение, а частично как драйвер. Он не занимается перехватами, а манипулирует объектами ядра системы, поэтому найти такого вредителя очень сложно.
Если вы обнаружили руткит, это еще не значит, что вы сможете избавиться от него. Для защиты от уничтожения пользователем или антивирусом в руткитах применяется несколько технологий, которые уже встречаются и в зловредных программах других типов. Например, запускаются два процесса, контролирующих друг друга. Если один из них прекращает работу, второй восстанавливает его. Применяется также похожий метод, использующий потоки: удаленный файл, параметр реестра или уничтоженный процесс через некоторое время восстанавливаются.
Популярен способ блокировки доступа к файлу: файл открывается в режиме монопольного доступа или блокируется с помощью специальной функции; удалить такой файл стандартными способами невозможно. Если попытаться воспользоваться отложенным удалением (во время следующей загрузки), например с помощью программы типа MoveOnBoot, то, скорее всего, запись об этой операции будет через некоторое время удалена либо файл будет переименован.
Любопытный способ защиты использует червь Feebs. Для борьбы с антивирусами, антируткитами и другими утилитами, пытающимися уничтожить его, он выставляет приманку – замаскированный процесс, не видимый на вкладке Процессы в окне Диспетчера задач. Любое приложение, которое попытается обратиться к этому процессу, уничтожается. Программа может устанавливаться как дополнительный модуль к браузеру Internet Explorer, изменяющий его функциональность. Стандартные средства контроля автозапуска типа msconfig не видят эти параметры, а применение дополнительных утилит для изучения системы требует от пользователя определенной квалификации, поэтому единственный действительно надежный способ уничтожить такую программу – отформатировать жесткий диск и заново установить операционную систему.
К сожалению, существующие сегодня специализированные программы, предназначенные для обнаружения руткитов, и традиционные антивирусы не дают стопроцентной гарантии безопасности. Обладая исходным кодом этих программ, можно создать любые модификации руткитов или включить часть кода в любую шпионскую программу. Главное умение руткитов – не прочно закрепиться в системе, а проникнуть в нее, поэтому основным правилом для вас должны стать максимальная защита и осторожность.
1.7. Уязвимости программ и хакерские технологии
Если после всего рассказанного в предыдущих главах у вас еще не пропало желание работать с компьютером, вам будет интересно узнать, как различные зловредные программы могут попасть в систему. Эта информация, возможно, убережет вас от простейших ошибок и позволит трезво оценить ситуацию.
Можно выделить три причины проникновения вирусов:
• ошибки при разработке программного обеспечения;
• ошибки в настройках;
• воздействие на пользователя (социальный инжиниринг).
Описать все варианты невозможно: технологии не стоят на месте и злоумышленники постоянно придумывают новые методы. Остановимся на основных моментах. Если в последних двух случаях от действий пользователя что-то зависит, то в первом он может повлиять на ход событий только частично. Ошибки в программном обеспечении часто способны свести на нет все попытки пользователя защитить систему от проникновения вредоносных приложений.
Переполнение буфера
Некоторые вирусы и атаки достигают цели без участия пользователя. Несмотря на усилия, интенсивность удаленных атак не снижается, а отражать их становится все труднее. Как это получается? Ведь чтобы программа, пусть и зловредная, что-то сделала, она должна быть кем-то или чем-то запущена. Анализ показывает, что в подавляющем большинстве атак используются ошибки переполнения буфера, и эта проблема является первостепенной.
Впервые данная уязвимость была использована в 1988 году – на ней основывались атаки червем Морриса. С тех пор количество подобных атак увеличивается с каждым годом. В настоящее время можно утверждать, что уязвимости, связанные с переполнением буфера, являются доминирующими при удаленных атаках, где обычный пользователь Сети получает частичный или полный контроль над атакуемым. Приблизительно половина вредоносных программ использует этот тип уязвимости.
В материале «Википедии» () дано следующее определение данной уязвимости: «Переполнение буфера – это явление, возникающее, когда компьютерная программа записывает данные за пределами выделенного в памяти буфера».
В «Новом словаре хакера» Эрика С. Рэймонда сказано, что «переполнение буфера – это то, что с неизбежностью происходит при попытке засунуть в буфер больше, чем тот может переварить».
Представьте следующую ситуацию. Функция изменения пароля может воспринять пароль длиной не более 256 символов. Чаще всего никто не пользуется паролями длиннее 8–10 символов, поэтому разработчики не предусмотрели проверку строки ввода данных. При попытке ввести более 256 символов, если за данными находился адрес возврата функции, он будет перезаписан и в лучшем случае выполнение программы завершится с ошибкой. Хакеру, обнаружившему такой уязвимый участок, остается подставить в качестве адреса возврата правильный адрес, что переведет управление в любую точку программы на его выбор. В результате может быть выполнен любой произвольный код, который хакер поместил в указанную область памяти, с привилегиями, с которыми выполняется текущая программа.
Подобные ошибки в программном обеспечении находят чуть ли не ежедневно, но не всегда и не сразу устраняют. Для примера можно просмотреть статистику на специализированных сайтах. Согласно данным Secunia () в Microsoft Windows XP Professional не устранено 30 из 201 уязвимостей, обнаруженных с 2003 по начало 2008 года, хотя имеющих статус highly critical (предельно опасный), которые позволяют удаленно выполнить код (то есть фактически получить доступ к системе), в этом списке уже нет. В среднем обнаруживается три-четыре уязвимости в месяц.
В Internet Explorer 7 не устранено 7 из 21 найденной уязвимости, и некоторые из них имеют статус highly critical. В среднем в месяц обнаруживается одна-две уязвимости. Если учесть все уязвимости, при которых можно удаленно выполнить код в системе, можно сделать вывод, что с этим браузером вообще опасно выходить в Интернет. Internet Explorer позволяет выполнение кода при обработке HTML Help ActiveX, файлов HTA, SWF, ZIP, BMP и JPEG, архивов FTP, Cookies, тега IFRAME и всплывающих окон, то есть для проникновения в систему троянца достаточно зайти на сайт и просмотреть/сохранить рисунки или архив ZIP.
Внимание!
Найденные уязвимости далеко не всегда устраняются сразу, часто они присутствуют годами.
В операционной системе Windows код Internet Explorer используют и многие другие приложения (почтовый клиент Outlook Express, Проигрыватель Windows Media и др.), отчего увеличивается вероятность поражения. Например, существует JPEG-эксплоит, который использует ошибку в системной библиотеке, возникающую при обработке графических JPEG-файлов. Эта ошибка позволяет заразить компьютер через любую программу – Outlook Еxpress или любой другой почтовый клиент, показывающий JPEG-картинки.
Следует также обратить внимание на возможность вывода в адресной строке Internet Explorer адреса, не соответствующего адресу загруженного сайта (такой вид атаки называется URL-спуфинг), и отображение всплывающих окон, которые, как думает пользователь, принадлежат просматриваемой в браузере странице, а также модификация заголовка окна или информации в строке состояния.
По данным различных источников, именно Internet Explorer сегодня является самым популярным веб-браузером, так как он интегрирован в Windows. Поэтому данная программа будет привлекать внимание злоумышленников, желающих реализовать свои замыслы, ведь вероятность того, что пользователь придет на специально созданный ресурс именно с Internet Explorer, остается самой высокой.
Давайте посмотрим, что на сегодня можно сказать о самом известном из бесплатных браузеров – Mozilla Firefox 2. В нем обнаружено 19 уязвимостей, из которых не устранено четыре. Самая опасная из них имеет статус less critical (ниже критического). Использовав эти уязвимости, получить полное управление компьютером невозможно, злоумышленник может лишь раскрыть некоторую системную информацию, поэтому следует признать, что положение этого браузера лучше, чем Internet Explorer.
Таким образом, оптимальным решением будет использование альтернативных приложений. Вместо Internet Explorer для серфинга можно применять, например, Mozilla Firefox, вместо Outlook Еxpress – The Bat! и т. д. У этих программ ситуация с безопасностью лучше.
Следует также периодически устанавливать обновления и использовать новые версии программ, в которых устранены старые ошибки (возможные новые ошибки – это уже другой вопрос). Правда, размер обновлений подчас до стигает нескольких десятков мегабайт и кроме Internet Explorer и Windows необходимо обновлять другие продукты, следовательно, трафик может быть накладным для бюджета. В таком случае следует ограничиться хотя бы обновлениями, устраняющими критические ошибки.
Наверняка вы задаетесь вопросом: неужели за столько лет никто не пытался бороться с переполнением буфера? Конечно же, пытались. Ведь разработка атакующих программ за несколько десятилетий переросла чистый энтузиазм и приняла коммерческую основу, что говорит о нарастающей опасности.
На борьбу с данной уязвимостью направлены такие утилиты, как, например, Stack-Guard. Первоначально она была разработана для Unix-систем, но в настоящее время ее аналог используется в Microsoft Visual Studio.NET и ProPolice компании IBM. В продуктах компании Microsoft, Windows XP SP2 и Server 2003 SP1 используется технология DEP (Data Execution Protection – защита от выполнения данных), которая делает секцию данных и стек неисполняемыми, что должно предотвращать подобный тип атак.
В некоторых процессорах Intel и AMD имеется специальный бит: в Intel – XD (eXecute Disable – запрет выполнения), в AMD – NX (No eXecute – нет выполнения), позволяющий аппаратно реализовать поддержку DEP.
При отсутствии поддержки на компьютере неисполняемых страниц на аппаратном уровне используется Software-enforced DEP (принудительный программный DEP). Программная защита DEP встраивается во время компиляции и поэтому работает только для пересобранных с поддержкой DEP системных библиотек и приложений.
В этих средствах можно обнаружить и недостатки. При использовании технологии DEP встал вопрос совместимости. Некоторым приложениям требуется исполняемый стек (а таких много: эмуляторы, компиляторы, защитные механизмы и пр.), поэтому по умолчанию защита включена только для системных процессов. Появление новой технологии подстегнуло хакеров, и практически одновременно были представлены методы, позволяющие обойти защиту. Атаковать стало сложнее, но все равно возможно.
Другие описанные механизмы позволяют защититься только от одного типа переполнения буфера, а их существует несколько видов, поэтому считать это полноценной защитой нельзя.
Хотелось бы немного успокоить вас: наличие ошибки не всегда позволяет реализовать атаку в полной мере: буфер может быть мал для внедрения кода (невозможно использование нулевых байтов), адреса системных функций у различных версий могут не совпадать, и человек, пытающийся использовать уязвимость, должен обладать действительно глубокими знаниями.
Неправильная настройка программ
К сожалению, большинство пользователей часто сами создают проблемы. Например, браузеру часто разрешают запуск JavaScript, ActiveX и других элементов управления, с помощью которых легко установить шпионские программы. Некоторые почтовые клиенты умеют обрабатывать и выводить на экран HTML-контент, позволяющий выполнять любые действия. Из-за неправильных настроек почтовой программы или имеющихся в ней ошибок при просмотре содержимого полученных писем могут автоматически открываться файлы вложений. Иногда используется следующий прием: к сообщению прилагается исполняемый файл, а в заголовке MIME, который указывает на тип передаваемого файла, в поле Content-Type указывается, что это рисунок. Почтовый клиент, пытаясь загрузить рисунок, запускает исполняемый файл.
Примечание
MIME – Мultipurpose Internet Мail Extension – почтовый стандарт Интернета: кодирование в одном сообщении текстовой и нетекстовой информации (графики, архивов и пр.) для передачи по электронной почте.
Опасность кроется не только в присылаемых EXE-файлах. Существует малоизвестная возможность выполнения сценариев в HLP– и CHM-файлах, причем эти сценарии позволяют запускать исполняемые файлы, поэтому следует остерегаться любых непрошеных сообщений электронной почты.
Если вы предпочитаете использовать для серфинга Internet Explorer, установите высокий уровень безопасности. Для этого выполните команду меню Сервис → Свойства обозревателя, в появившемся окне перейдите на вкладку Безопасность, выберите категорию Интернет, в нижней части окна нажмите кнопку Другой, в открывшемся окне Параметры безопасности выберите из списка На уровень пункт Высокий и нажмите кнопку OK.
Пользователи часто работают в Интернете с правами администратора, соответственно, злоумышленник, получивший доступ к компьютеру посредством, например, атаки на Internet Explorer, получит те же права, поэтому для работы в Интернете следует завести отдельную учетную запись, наделив ее минимальными правами.
Червь Lovesan использовал уязвимость в сервисе Microsoft RPC (Remote Procedure Call – удаленное выполнение команд). И хотя эта уязвимость устранена, если служба DCOM (Distributed Component Object Model – модель распределенных компонентных объектов) вам не нужна, лучше отключить ее, а заодно и остальные ненужные сервисы. Чтобы проверить список запущенных служб, следует выполнить команду меню Пуск → Выполнить и в окне Запуск программы ввести cmd. В появившемся окне командной строки введите команду net start. На рис. 1.1 показан пример списка работающих служб.
Рис. 1.1. Вывод списка запущенных служб
Чтобы отредактировать список автоматически запускающихся служб, следует выполнить команду Пуск → Панель управления, выбрать категорию Производительность и обслуживание, затем Администрирование, после чего щелкнуть на ярлыке Службы. Двойной щелчок на выбранной службе покажет информацию о ее назначении и позволит изменить статус запуска. Если вы сомневаетесь в необходимости служб, можно постепенно отключать их, наблюдая за реакцией системы.
В Интернете существует достаточное количество руководств, подробно описывающих назначение системных служб Windows. Одно из них можно найти по адресу . Желательно отключить нулевую сессию (Null Session), позволяющую подключиться к системе, основанной на Windows NT, без ввода имени пользователя и пароля. При включенной нулевой сессии анонимный пользователь может получить большое количество информации о конфигурации системы, которую сможет использовать в дальнейших действиях (список ресурсов, предоставленных для общего доступа, список пользователей, рабочих групп и т. д.). Открытый 139-й порт относится к категории серьезных уязвимостей. Чтобы отключить нулевую сессию, необходимо выполнить команду меню Пуск → Выполнить и набрать в строке Открыть команду regedit. В разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa для Windows 2000/XP/2003 нужно задать параметру restrictanonymous значение 2 (тип – REG_DWORD), для Windows NT3.5/NT4.0 – значение 1. Для Windows 2000/XP/2003 в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver нужно задать для параметра RestrictNullSessionAccess значение 1 (тип параметра – REG_DWORD), а для Windows NT3.5/NT4.0 это можно сделать в разделе системного реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters. Если таких параметров нет, их необходимо создать.
После внесения изменений требуется перезагрузка компьютера.
Следует также запретить скрытые ресурсы C$, D$, ADMIN$. Для этого проще использовать специализированные утилиты. Например, программа LanSafety позволяет сделать это одним щелчком (рис. 1.2).
Рис. 1.2. Рабочее окно программы LanSafety
Желательно использовать файловую систему NTFS, которая позволит разграничить доступ к ресурсам вашего компьютера и усложнит процесс локального взлома базы SAM.
Ранние версии Microsoft Word и Microsoft Ехсеl вместе с открытием документа автоматически запускали сценарии, написанные на языке Visual Вasic for Аррlication, что приводило к заражению компьютера макровирусами. Последние версии этих приложений запрашивают у пользователя подтверждение запуска сценариев.
Это далеко не все мероприятия, которые нужно выполнить для повышения уровня безопасности работы на компьютере. Обязательно следует установить антивирус, включить брандмауэр и использовать другие программы, о которых будет рассказано в следующих главах.
Социальный инжиниринг
Среди специалистов по информационной безопасности распространено мнение, что компьютерная защита – это постоянная борьба с глупостью пользователей и интеллектом хакеров. Отсюда следует, что наиболее уязвимое звено в защите – человек. Существуют и системные уязвимости, которые становятся источником массовых эпидемий (достаточно вспомнить червь Lovsan aka W32. Blaster, использовавший уязвимость в RPC DCOM). Здесь, к сожалению, пользователь бессилен, и бороться с этим можно либо постоянно устанавливая всевозможные заплатки, либо сменив операционную систему на более безопасную, а от последствий действий пользователя порой не спасет ничто.
Внимание!
Часто пользователь становится источником своих же проблем: будьте внимательны при работе с письмами неизвестных отправителей, пользуйтесь антивирусом и брандмауэром.
Разработчики вирусов используют те же приемы, что и маркетологи, и всегда найдется хотя бы один человек из ста, который, несмотря на предупреждения, сочтет полученное неизвестно от кого письмо безопасным и откроет его, понадеявшись на защиту антивируса. Для достижения цели вирусописатели (как, впрочем, и другие мошенники, в том числе и в реальном мире) используют человеческие слабости:
• недостаточную подготовку;
• желание выделиться;
• тягу мгновенно разбогатеть или получить что-то даром;
• жалость и милосердие;
• желание посмотреть «интересные» картинки;
• интерес к продукту, который нужен некоторой части населения или который невозможно достать;
• интерес к методикам быстрого обогащения с помощью финансовых пирамид, суперидеям для успешного ведения бизнеса или беспроигрышной игры в казино;
• доверие к заплаткам, якобы направленным пользователю заботливым сотрудником компании Microsoft.
В последнее время начали появляться ложные сообщения от сотрудника антивирусной компании о вирусе, якобы найденном в отправленном пользователем сообщении, или о начале новой эпидемии. Чтобы обезопасить пользователя, «доброжелатель» прикрепляет к письму файл, с помощью которого этот вирус можно удалить. После запуска этого файла на компьютере будет установлен троянец. Чтобы не вызвать подозрение пользователя, в письме часто обращаются совсем к другому человеку. При этом в теме сообщения может говориться, что «найден классный сайт, продающий дешевый товар»; к самому письму могут прикрепляться фотографии «со студенческой вечеринки» с просьбой «никому не показывать»; в письме может быть ссылка на «очень нужную программу» и т. д. Это делается, чтобы убедить получателя, что письмо попало к нему случайно, но информация может быть для него интересной.
Пожалуй, единственным путем распространения вирусов через ICQ является передача файлов, поэтому необходимо быть очень осторожным с предложениями загрузить файл от постороннего человека.
Операционная система не всегда способна правильно выдать информацию о запускаемом файле. По умолчанию Microsoft Windows не показывает зарегистрированные расширения имен. В результате имя файла foto.jpg.ехе будет показано как foto.jpg. Для маскировки реального расширения применяется двойное расширение вроде xxx.jpg.exe (в данном случае может помочь то, что некоторые почтовые серверы отказываются пропускать исполняемые файлы) или добавляется большое количество пробелов, из-за чего имя файла отображается не полностью.
Совет
Включите отображение расширения файлов, выполнив команду Сервис → Свойства папки и сняв флажок Скрывать расширение для зарегистрированных типов файлов на вкладке Вид.
Значки – это отдельная тема. Большинство пользователей до сих пор думают, что запускаемую программу определяет значок. Щелкнув на значке с изображением калькулятора, они ожидают, что запустится именно калькулятор, а не какой-нибудь W32.Bagle-А. Этим пользуются злоумышленники: высылают файл с двойным расширением типа creditcard.doc.exe и значком, обычно используемым для документов Microsoft Word. Второе расширение чаще всего скрыто, и пользователь не сомневается, что по почте пришел именно текстовый документ.
В ближайшее время компьютерная грамотность вряд ли достигнет уровня, когда можно будет забыть о человеческом факторе, поэтому един ственный совет, который можно дать, – будьте бдительны и внимательны, критически относитесь к различным предложениям и не открывайте подозрительные письма.
Глава 2 Антивирусные программы
Принцип работы антивируса
Компоненты современного антивируса
Известные антивирусные программы
Программы для поиска руткитов
В первой главе вы ознакомились с опасностями, которые подстерегают компьютер во время работы. Теперь следует научиться бороться с ними.
2.1. Принцип работы антивируса
Пользователь часто может сам обнаружить присутствие вируса на компьютере. Например, о заражении системы почтовым червем Email-Worm.Win32.NetSky.b можно судить по возрастанию загрузки процессора до 90 % и активной работе жесткого диска (в результате деятельности червя в различных каталогах создается около 2,5 тыс. файлов).
Однако так бывает не всегда, поэтому лучше поручить обнаружение вирусов специализированным программам, тем более что иногда признаки, которые пользователь расценивает как результат действия вируса, могут характеризовать системные или аппаратные сбои.
Для борьбы с компьютерными вирусами применяются антивирусные программы. История развития антивирусов – это смена поколений программ, когда устаревшие методы борьбы заменяются более эффективными технологиями. Появление новых вирусов, использующих неизвестную брешь в операционной системе или новый механизм размножения, делает неэффективными старые технологии обнаружения. Это влечет за собой адекватные действия со стороны разработчиков антивирусных программ, направленные на нейтрализацию угрозы. Так было до появления первого бестелесного вируса, который не образовывал файлы. Возникла необходимость проверки архивов, электронной почты, макросов документов Microsoft Office, поэтому исчезли иммунизаторы, которые были популярны в начале истории персональных компьютеров.
Примечание
Иммунизаторы могли сообщить о заражении либо блокировать попытку заражения файла определенным вирусом, но они не получили широкого распространения и в настоящее время практически не используются.
Прежде чем приступить к рассмотрению работы конкретных антивирусных программ, следует познакомиться с некоторыми принципами их работы. Основываясь на них, вам будет легче ориентироваться при выборе нужного решения, видеть реальные возможности антивируса, его слабые и сильные стороны. Можете пропустить этот раздел и вернуться к нему позже.
Сигнатурный анализ
Одной из основных частей любого антивируса является движок, или ядро, – модуль, который отвечает за обнаружение вредоносных программ. Именно от его эффективности и используемых методов поиска зависит качество работы антивируса и возможности обнаружения вирусов и других зловредных программ.
Для детектирования вирусов в каждом движке реализовано несколько технологий. Самые известные из них – поиск по сигнатурам и эвристический анализатор.
Сигнатура представляет собой уникальную для каждого вируса строку, которая однозначно указывает на определенную вредоносную программу. При появлении нового вируса его код анализируется специалистами и сигнатура заносится в антивирусную базу. Этот способ – самый эффективный, так как позволяет почти со стопроцентной вероятностью определить наличие известного вируса.
Неизвестный вирус пройдет через такой детектор незамеченным. На анализ и выработку сигнатуры нового вируса уходит некоторое время, в течение которого любой компьютер беззащитен. Ошибка при выборе сигнатуры может привести к тому, что подозрение может пасть на незараженный файл. Такие случаи нельзя назвать редкими: однажды подозрение пало на программу Punto Switcher, которая находилась на компакт-диске, приложенном к журналу. Антивирус Avast! находил в этом файле троянца. Проверки с помощью других антивирусов показывали, что файл чист.
Совет
Антивирус может ошибаться, обнаруживая в чистом файле вирус или не замечая существующий вирус. В случае сомнения для проверки файла можно воспользоваться любым доступным онлайн-антивирусом.
Каждый разработчик антивирусной программы, как правило, имеет на своем сайте функцию онлайн-проверки; есть сервисы, проверяющие файл сразу несколькими антивирусами. Например, сервис Virustotal () позволяет проверить подозрительный файл с помощью 32 различных антивирусов. Я отправил для проверки файл, зараженный не самым старым трояном. В результате вирус обнаружили только 17 из 32 антивирусов (рис. 2.1).
Рис. 2.1. Проверка файла в Virustotal
Еще одно неудобство сигнатурного метода связано с тем, что пользователь вынужден постоянно обновлять антивирусные базы, размер которых иногда велик. Если этого не делать, компьютер может оказаться незащищенным. Сначала для определения эффективности антивируса кроме других показателей руководствовались количеством записей в антивирусной базе. Однако время показало, что иногда разработчики антивирусного программного обеспечения заносят в базу приложения, не относящиеся к вирусам, в том числе безвредные. Производители часто используют для подсчета количества записей разные методики, например модификации одного вируса считают как несколько вирусов и наоборот, поэтому в последнее время критерием качества работы является скорость реакции антивирусной компании по занесению нового вируса в базу. Чем быстрее генерируется новая сигнатура, тем лучше защищен пользователь.
Разная скорость работы антивирусных лабораторий привела к тому, что сегодня стали появляться решения, имеющие два и более ядра, выполненные различными производителями. Это снижает производительность системы (проверка несколькими ядрами требует больших ресурсов), однако безопасность превыше всего.
Эвристика
Когда новые вирусы начали появляться почти ежедневно, эксперты задумались, как это остановить. В результате были созданы две технологии: эвристический анализатор и поведенческие блокираторы. В настоящее время появился термин проактивная защита, который объединяет эти понятия.
В процессе работы эвристический анализатор проверяет код приложений, макросов и сценариев и пытается найти в них подозрительные команды или действия. Если количество последних превысит некий барьер, можно сделать вывод об их вирусном происхождении.
Наиболее эффективны динамические анализаторы, запускающие приложение посредством эмуляции. Подобным образом действуют поведенческие блокираторы, только вместо эмуляции запуска программ они работают в реальной среде, анализируя последовательность операций приложения.
С помощью блокиратора можно обнаружить:
• некоторые полиморфные вирусы;
• руткиты;
• попытки внедрения одной программы в другую.
Блокиратор также контролирует целостность системных файлов и реестра
Windows и при необходимости производит откат.
При обнаружении подозрительных моментов пользователю часто выдается запрос о дальнейших действиях. Если пользователь недостаточно подготовлен, чтобы разобраться в проблеме, он может принять неправильное решение, что обесценит защиту. Идеально работающего эвристического анализатора еще не существует. Эта технология часто ошибается, пропуская вирус или, наоборот, подозревая безобидную программу. Разработчики поведенческих блокираторов и эвристических анализаторов составляют набор правил на основе изучения вредоносных программ и также могут ошибаться. У злоумышленников всегда есть возможность изучить реакцию системы защиты и выработать алгоритм заражения, при котором защита не сработает.
Внимание!
Многочисленные тесты показывают, что ни одна антивирусная программа не может обнаружить все вирусы, поэтому всегда существует вероятность, что вирус будет пропущен. Однако есть шанс, что пропущенное вредоносное приложение остановит система защиты антивируса.
Стоит также отметить, что часто разработчики связаны слабыми возможностями движка, которому приходится поддерживать антивирусные базы, поэтому эвристику и поведенческие блокираторы в антивирусах следует рассматривать не как основные, а как дополнительные средства обнаружения, часто усеченные по возможностям.
2.2. Компоненты современного антивируса
Сегодняшний антивирус состоит из нескольких компонентов, каждый из которых отвечает за обнаружение вирусов на определенном участке работы.
В процессе развития состав этих компонентов изменялся, добавлялись новые и удалялись не отвечающие требованиям времени.
• Первый и основной антивирусный компонент – сканер (On-Demand Scanner). Задачей сканера является проверка по требованию пользователя файлов, памяти и загрузочных секторов на наличие вирусов. Сканер необходимо периодически запускать для проверки имеющихся файлов и при получении новых.
До недавнего времени практически все тесты антивирусов включали время, за которое антивирусный сканер проверял жесткий диск компьютера, и количество выявленных вирусов. Компании – разработчики антивирусов шли на различные хитрости. Например, известна история, что в антивирусе Dr. Solomon был специальный режим для работы с тестовыми коллекциями, позволявший ему побеждать. Сейчас скорость работы не является основным показателем, главное – это качество выявления вирусов. Чтобы несколько раз не проверять файлы, которые не изменялись со времени предыдущей проверки, сканеры ведут специальную базу данных.
• Пользователи часто забывают проверять принесенные дискеты и диски. Именно по этой причине был разработан страховочный компонент антивируса – монитор(On-Access Scanner).
В отличие от сканера, монитор постоянно находится в оперативной памяти и автоматически проверяет файлы в реальном времени. Когда пользователь пытается запустить программу, монитор перехватывает запрос, проверяет файл на наличие вирусов и, если он чист, разрешает дальнейшее выполнение. Одни мониторы контролируют файлы только в процессе запуска, другие проверяют все, с чем работает пользователь, а также изменяемые и закрываемые файлы.
Совет
Обязательно проследите, чтобы в используемом антивирусе был включен монитор, так как он автоматически проверяет все файлы, с которыми вы работаете.
Первое время в составе антивирусов были только файловые мониторы, но так как для распространения вирусов часто используется электронная почта, появились почтовые мониторы, которые автоматически активизируются, когда пользователь принимает и отправляет почту.
В составе антивирусов могут быть также другие мониторы, контролирующие отдельные приложения (например, Microsoft Office) или сервисы.
Монитор предоставляет пользователю большую безопасность и очень удобен, так как предупреждает пользователя только когда сталкивается с проблемой, а все проверки происходят незаметно. Однако именно монитор нагружает систему, часто вызывая раздражение пользователя, и становится причиной отключения антивируса, чтобы он не мешал работе. Работа монитора часто является определяющей при выборе антивируса, так как в различных решениях он по-разному нагружает систему.
• Еще один компонент антивируса – ревизор изменений. Его задача – отслеживать изменения в важных системных файлах. Если охраняемый файл изменился, это может означать, что в системе не все в порядке, о чем антивирус предупреждает пользователя. Если монитор загружен, а пользователь не изменял системные файлы, такая ситуация может означать, что компьютер заражен неизвестным вирусом, и первое, что необходимо сделать, – это обновить антивирусные базы и проверить систему.
2.3. Известные антивирусные программы
Ознакомимся подробнее с настройкой трех антивирусных программ: коммерческого «Антивируса Касперского» и бесплатных AVG Free Edition и Avast! Home Edition.
«Антивирус Касперского» (/) – самая популярная антивирусная программа, которая побеждает во многих сравнительных тестах. Она располагает одним из лучших эвристических анализаторов: компанияразработчик оперативно реагирует на появление новых вирусов, добавляя их сигнатуры в антивирусную базу. Недавно была выпущена новая версия этого приложения – «Антивирус Касперского 7.0».
AVG Free Edition () – бесплатный антивирус чешского производства для некоммерческого домашнего использования. Его базовая версия обладает отличной функциональностью, а версия Free представляет собой полноценный антивирус со всеми модулями и настройками, а не усеченный вариант, каким обычно делают бесплатные версии своих программ компании с целью привлечения внимания пользователей к основному продукту. Неоднократно AVG Free Edition отмечался экспертами независимой лаборатории ICSA (International Computer Security Association – Международная ассоциация по компьютерной безопасности (/)), и Virus Bulletin (/). Я сам на протяжении пяти лет пользуюсь исключительно AVG Free Edition. Монитор этой программы практически не нагружает систему; некоторые возможности по обнаружению вирусов впервые появились именно в этом антивирусе.
Avast! Home Edition () – еще один бесплатный антивирус чешского производства, который благодаря понятному интерфейсу и развитым функциям при простоте настроек пользуется заслуженной популярностью у домашних пользователей.
Параметры этих антивирусов типичны. Интерфейсы «Антивируса Касперского» и Avast! Home Edition локализованы, AVG Free Edition – нет, поэтому после знакомства с этими программами вы сможете по аналогии освоить любой другой антивирус.
Во время написания данного раздела я просканировал всю коллекцию файлов на своем и других компьютерах локальной сети с помощью трех описываемых антивирусных программ. Они нашли примерно одинаковое количество подозрительных файлов, однако результат частично не совпал – были выведены разные объекты. Это подтверждает результат сканирования файла на Virustotal.
«Антивирус Касперского»
В 2007 году «Лабораторией Касперского» была выпущена новая версия известного антивируса – «Антивирус Касперского 7.0». Если в предыдущих версиях основной упор делался на сигнатурный поиск вирусов, то здесь разработчики используют все известные технологии защиты от известных и новых интернетугроз – как традиционные (проверка по базам сигнатур), так и новые, относящиеся к проактивным технологиям (эвристический анализатор и поведенческий блокиратор).
Существенно изменилась функциональность антивируса. Еще в версии 6.0 в этот антивирус была добавлена проверка сетевого трафика. Теперь просмотр веб-страниц, работа с электронной почтой, общение в сетях мгновенного обмена сообщениями происходит под защитой антивируса. Предусмотрены плагины и лечение вирусов в базах популярных почтовых программ (Microsoft Outlook, Microsoft Outlook Express и The Bat!), и улучшены алгоритмы обнаружения клавиатурных шпионов и руткитов.
Продолжительность проверки жесткого диска всегда вызывала нарекания пользователей, а загрузка системы не позволяла параллельно работать на компьютере. Еще в версии 6.0 появились новые технологии iChecker и iSwift, использование которых сокращает время проверки диска и загрузки системы. Теперь также можно проверять новые и измененные файлы. Программа подстраивается под работу пользователя и при увеличении нагрузки может временно приостановить проверку.
Для работы с версией 7.0 потребуется компьютер, работающий под управлением Windows 2000 Professional, Windows XP или Windows Vista.
Установка
Если вы скачали программу в Интернете, ее установка заключается в запуске исполняемого файла – самораспаковывающегося архива. Если вы приобрели ее на компакт-диске, следует запустить установочный файл оттуда. Кроме имени файлов, других различий при установке разных версий антивируса нет.
После запуска программа установки проверит ваши права на инсталляцию и наличие необходимых системных компонентов. Если необходимые требования не удовлетворены, на экране появится соответствующая информация. Если все в порядке, откроется окно приветствия (рис. 2.2).
Рис. 2.2. Окно приветствия мастера установки программы
Программа установки выполнена в виде пошагового мастера, каждое окно которого позволяет контролировать определенный параметр посредством нескольких кнопок:
• Далее (на некоторых этапах эта кнопка называется Установить) – подтверждение текущего действия и переход к следующему этапу установки;
• Назад – возврат к предыдущему этапу без выхода из программы инсталляции;
• Отмена – отказ от процедуры установки;
• Справка – получение справочной информации о текущем этапе;
• Сброс – сброс настроек в исходное состояние.
Нажмите кнопку Далее и перейдите к этапу выбора лицензионного соглашения. Прочитайте его внимательно: компания оговаривает не только обязанности пользователя, но и свои. Например, в случае обнаружения неизвестного вируса она обязуется выпустить обновление для антивирусной базы в течение 48 часов. Это означает, что компьютер останется без защиты на двое суток. Будем надеяться, что реально этот срок меньше. Выберите Я принимаю условия лицензионного соглашения и нажмите Далее.
Выбор варианта Быстрая установка позволит установить все компоненты антивируса с параметрами по умолчанию, что рекомендуется для начинающих. Опытные пользователи могут обратиться к варианту Выборочная установка, в котором можно выбирать отдельные компоненты и каталог для установки антивируса. Любой компонент антивируса можно отключить в процессе работы, поэтому нажмите Быстрая установка и подтвердите выбор нажатием кнопки Далее (рис. 2.3).
Рис. 2.3. Окно выбора типа установки
Если на компьютере будут найдены компоненты, присутствие которых может вызвать конфликт (например, если уже установлен один антивирус), на следующем шаге мастера отобразится их список. Нажатие кнопки Далее приведет к их автоматическому удалению. Если на компьютере установлена более ранняя версия «Антивируса Касперского», будет предложено сохранить все настройки. Согласитесь с этим предложением, выбрав Параметры защиты.
В следующем окне ничего указывать не нужно. Если все сделано правильно, нажмите кнопку Установить – начнется процесс инсталляции. Через некоторое время последует запрос на перезагрузку системы, подтвердите его нажатием кнопки ОК.
После перезагрузки снова появится мастер. Нажмите кнопку Установить и ожидайте распаковки файлов. По завершении нажмите Далее – загрузится Рабочий стол с мастером первоначальной настройки приложения.
Совет
Во время установки любой программы лучше закрыть все работающие приложения – так вы сможете избежать непредвиденных ситуаций.
Задача этого мастера изменилась по сравнению с предыдущими версиями. Теперь он отвечает только за активизацию продукта, а не за первичную настройку работы антивируса. В первом окне мастера (рис. 2.4) предлагается активизировать продукт.
Рис. 2.4. Окно активизации «Антивируса Касперского»
Дальнейшие действия зависят от того, настроено ли соединение с Интернетом и есть ли у вас лицензионный ключ. Если соединения с Интернетом нет, установите переключатель в положение Активировать приложение позже и нажатием кнопки Далее перейдите к следующему шагу. Так же можно поступить, если вы сомневаетесь в выборе именно этой антивирусной программы. Если «Антивирус Касперского» куплен у дилера и у вас есть код активизации, выбирайте вариант Активировать, используя код активации, на основании которого вы получите лицензионный ключ, обеспечивающий полную функциональность приложения.
Совет
Во время активизации антивируса необходимо ввести контактную информацию – фамилию, имя, отчество, адрес электронной почты, страну и город проживания. Эти данные могут потребоваться для идентификации зарегистрированного пользователя при утрате ключа, поэтому укажите правильные данные.
Ключ будет получен автоматически, и в окне появится вся информация о лицензии. Для пользователей ранних версий «Антивируса Касперского», имеющих лицензионный ключ, предназначен вариант Использовать полученный ранее лицензионный ключ (в том числе демонстрационный). Установив переключатель в это положение, необходимо нажать кнопку Обзор и выбрать файл с расширением KEY, который является лицензионным ключом. Если ваша цель – тестирование «Антивируса Касперского», выбирайте вариант Активировать пробную версию.
Внимание!
В версии 7.0 для активизации пробной версии необходимо подключение к Интернету.
После нажатия кнопки Далее мастер попытается соединиться через Интернет с сайтом производителя и в случае успеха автоматически получит пробный ключ. В окне мастера будет выведен его номер и дата окончания пробного периода. После сбора информации о системе появится окно, указывающее на завершение установки. Установив флажок Запустить приложение, можно запустить работу программы.
Окно управления антивирусом
После установки «Антивируса Касперского» вы обнаружите несколько новых деталей на Рабочем столе. В области уведомлений появится специфический значок
выполняющий двойную функцию. Во-первых, он показывает статус работы антивируса: если значок цветной, защита включена, если черно-белый, это означает, что кто-то ее отключил. Во-вторых, в зависимости от выполняемой в настоящее время работы (проверка почтового сообщения, исполняемого файла, программы или сценария, обновления сигнатурных баз) он также изменяет внешний вид. Например, при проверке исполняемого файла или программы значок принимает вид
Щелкнув на значке правой кнопкой мыши, можно вызвать контекстное меню, которое позволяет выполнить основные операции (проверка на вирусы, обновление, настройка, приостановка защиты, обновление), не открывая окна программы.
Дополнительные компоненты (плагины) «Антивируса Касперского» подключаются к программам, позволяя на лету проверять на вирусы файлы, с которыми работают эти приложения. Существуют плагины для следующих программ:
• Microsoft Office Outlook;
• Microsoft Outlook Express;
• The Bat!;
• Microsoft Internet Explorer;
• Microsoft Windows Explorer.
Если дважды щелкнуть на значке «Антивируса Касперского» в области уведомлений, откроется его основное окно (рис. 2.5).
Рис. 2.5. Окно управления антивирусом
Окно управления антивирусом можно разделить на три части:
• слева вверху размещается панель выбора, позволяющая быстро перейти к компонентам защиты, поиску вирусов или сервисным функциям;
• слева внизу находятся кнопки доступа к справочной информации и настройкам работы антивируса;
• в правой части производятся все настройки компонентов, выбранных в левой, а также выводится статус работы системы защиты в целом и отдельных ее компонентов.
Уведомления, появляющиеся на экране, могут быть трех видов:
• Тревога – окно красного цвета, сообщение о критическом событии, требующем немедленного решения;
• Внимание – желтое окно, информация о потенциально опасном событии, требующем внимания и решения пользователя;
• Информация – окно голубого цвета, в котором программа информирует, что произошло событие, не имеющее первостепенного значения.
Кроме самого сообщения на экране в виде ссылок отображаются возможные варианты действий. Это может быть обновление антивирусных баз, удаление, помещение на карантин, лечение опасного объекта, запрет выполнения программы и др.
Внимание!
Если обнаружен опасный объект, действие Пропустить означает блокировку доступа к этому объекту и вывод отчета. Если вы сомневаетесь в выборе решения, можете указать этот пункт.
Сразу после установки антивирус готов к работе с настройками по умолчанию.
Для начала работы следует выполнить следующие действия.
1. Проверить статус защиты.
2. Обновить компоненты антивируса и антивирусные базы, настроить параметры автоматического обновления, если это не было сделано ранее. Если доступно соединение с Интернетом, антивирусные базы будут обновляться автоматически.
3. Полностью проверить компьютер на наличие вирусов и настроить режимы автоматической проверки, если это не было сделано ранее.
После этого антивирус будет работать в автономном режиме, практически не требуя внимания пользователя. Рассмотрим вышеперечисленные действия подробнее.
Проверка статуса защиты
Статус защиты отражает наличие или отсутствие угроз, которые влияют на уровень безопасности системы. Статус системы защиты показан цветом в верхней части главного окна приложения. В зависимости от ситуации цвет будет меняться аналогично сигналам светофора, а в правом верхнем углу будет выводиться дополнительная информация. Панель, показывающая статус, может светиться одним из трех цветов. Если индикатор зеленый – все нормально, базы своевременно обновлены, а параметры проверки соответствуют рекомендуемым. Желтый цвет означает, что замечены некоторые отклонения, требующие внимания пользователя, например отключен один из компонентов антивируса или базы устарели на несколько дней. Красный цвет говорит о критической ситуации, требующей немедленного вмешательства. Это может быть сбой в работе одного или нескольких компонентов защиты, давно не производившееся обновление или обнаруженные вредоносные объекты.
Если в системе что-то не так, щелчком на информационной ссылке вы запустите Мастер безопасности, который поможет получить более подробную информацию и решить проблему. О серьезности угрозы в сообщении будет свидетельствовать цвет значка с восклицательным знаком. Оранжевый цвет означает некритические угрозы, снижающие безопасность компьютера, красный говорит об очень серьезной проблеме.
Совет
Мастер безопасности позволяет отключить некоторые «желтые» предупреждения, чтобы они не отвлекали. Для этого достаточно нажать ссылку Отложить.
С общей информацией вы ознакомились, теперь рассмотрим отельные компоненты. Перейдите в область Защита и выберите один из четырех компонентов: Файловый Антивирус, Почтовый Антивирус, Веб-Антивирус или Проактивная защита. В правой части появится информация об интересующем компоненте. Например, выберите Файловый Антивирус (рис. 2.6). Все просто и понятно.
Рис. 2.6. Вывод статуса и статистики работы Файлового Антивируса
Изменить текущие настройки или просмотреть более подробную статистику можно, щелкнув в соответствующем поле (Настроить или Открыть отчет). Если компонент содержит несколько модулей (Проактивная защита), будет выведен статус работы каждого из них. Нажав кнопку Стоп или Пауза, можно остановить или приостановить работу текущего компонента. Это может понадобиться, например, в случае сбоев в работе либо если в компоненте нет необходимости (например, вы не пользуетесь почтой). Чтобы снова активизировать выбранный компонент, нажмите ссылку Возобновить работу.
Через некоторое время обязательно просмотрите статистику работы каждого компонента. Если, например, вы активно пользуетесь электронной почтой, а соответствующий компонент показывает, что обработано малое количество писем, он, возможно, настроен неправильно. Так, для проверки почты и веб-трафика антивирус применяет стандартные номера портов, поэтому если сервис использует другой порт, то проходящая информация анализироваться не будет. Всегда есть вероятность, что вирус будет остановлен файловым антивирусом или проактивной защитой, однако вредоносные сценарии, ориентированные на уязвимость в веб-браузере или почтовом клиенте, могут остаться незамеченными, поэтому, если вы знаете, что сервис использует нестандартный порт, его номер следует занести в список.
Примечание
Все сервисы сопоставлены с номером, который, как правило, стандартизирован (хотя бывают и исключения). Эту систему можно представить в виде дома: не зная квартиру, вы не сможете попасть в гости. Так и компьютер, обращаясь по адресу, должен указать, доступ к какому сервису он хочет получить, поэтому вместе с адресом указывает порт.
Чтобы антивирус проверял информацию, проходящую через новый порт, следует щелкнуть на ссылке Настройка, выбрать категорию Контроль трафика, нажать кнопку Настройка портов, затем Добавить и в соответствующие поля ввести номер порта и краткий комментарий.
Обновление антивирусных баз
Для обновления антивирусных баз потребуется соединение с Интернетом. Можно также скачать обновления отдельно, а затем, предварительно собрав их в одну папку и указав ее в качестве источника, сообщить антивирусу о необходимости обновления. По умолчанию обновление производится автоматически при соединении с Интернетом. Чтобы изменить это поведение, выполните команду Настройка → Обновление.
В поле Режим запуска выбирается режим обновления антивирусных баз и компонентов. Нормальная работа антивируса во многом зависит от свежести антивирусных баз, поэтому рекомендуемый вариант – Автоматически (рис. 2.7). В этом случае обновления будут скачиваться по мере их выхода.
Рис. 2.7. Выбор режима обновления
Установив переключатель в положение Каждый 1 день, можно составить собственное расписание обновлений программы. Нажав кнопку Изменить, можно выбрать любую периодичность обновления в минутах, часах или днях недели, а также указать точное время обновления. Обратите внимание на флажок Запускать пропущенную задачу. Если он установлен, пропущенное обновление будет произведено при первой возможности. Вариант Вручную отключит автоматическое обновление, и пользователю придется самостоятельно следить за этим процессом. В дальнейшем можно изменить параметры обновления антивирусных баз, выбрав оптимальный режим.
Кроме антивирусных баз планируется обновлять модули приложения, поэтому проследите, чтобы был установлен одноименный флажок.
Пользователи часто применяют обновления, содержащиеся на приложенных к журналам компакт-дисках, или берут их у знакомых. Для удобства создайте отдельный каталог, в который будете помещать такие обновления. В этом случае обновления всегда будут находиться в одном месте, а не разбросаны по всему диску, и, если понадобится переустановить антивирус, их будет проще найти. Укажите необходимую папку, нажмите кнопку Настройка, в появившемся окне Настройка обновления нажмите кнопку Добавить и выберите каталог с обновлениями. Затем с помощью кнопки Вверх установите этот ресурс первым в списке – в этом случае антивирус будет автоматически сначала обновляться из указанного каталога, а затем скачивать недостающее с сервера обновлений.
Примечание
По умолчанию для обновления выбирается ближайший к пользователю сервер; установив флажок Задать местоположение, сервер для обновлений можно выбрать вручную.
Обратите внимание на флажок Проверить файлы на карантине – его установка позволит автоматически проверять файлы на карантине после обновления антивирусных баз.
Чтобы проверить актуальность антивирусных баз, необходимо щелкнуть на ссылке Обновление. В правой части окна в области Информация о текущих базах будет указана дата выпуска баз и общее количество записей в базах (рис. 2.8).
Рис. 2.8. Информация о базах
Чтобы вручную обновить сигнатуры, перейдите в пункт Обновление и нажмите ссылку Обновить базы. Запустится процесс обновления, все детали которого будут выводиться в этом же окне. Во время обновления может произойти сбой, в результате которого базы будут повреждены. В этом случае для возвращения к предыдущим настройкам нажмите Обновить базы.
По умолчанию для соединения с сервером обновления используются параметры подключения к Интернету, указанные в Internet Explorer. Если обновление проходит нормально, больше настроек не потребуется. Если для выхода в Интернет система использует прокси-сервер, являющийся посредником, или пользователь работает с другим веб-браузером, настройки в Internet Explorer не соответствуют действительности. В таком случае напрямую соединиться с сервером обновлений невозможно. Чтобы исправить ситуацию, нажмите кнопку Настройка и перейдите на вкладку Прокси-сервер. Флажок Использовать прокси-сервер установлен по умолчанию (рис. 2.9).
Рис. 2.9. Настройки прокси-сервера
Установите переключатель в области Параметры прокси-сервера в положение Использовать указанные параметры прокси-сервера. В поля Адрес и Порт введите необходимые данные. Если параметры прокси-сервера неизвестны, их можно уточнить у системного администратора, службы поддержки поставщика услуг Интернета или пользователей вашей сети. Если прокси-сервер требует аутентификацию, установите флажок Использовать аутентификацию и укажите имя пользователя и пароль для доступа к прокси.
Проверка объектов с помощью антивируса
После установки и обновления антивирусных баз следует полностью проверить компьютер с помощью сканера антивируса. Если этого не сделать, то вирусы, которые ранее проникли в систему, будут представлять опасность. Об этом сообщит цвет заголовка главного окна антивируса – без полной проверки он не станет зеленым.
Чтобы перейти к режиму проверки системы, необходимо щелкнуть на ссылке Поиск вирусов (рис. 2.10).
Рис. 2.10. Окно поиска вирусов
Правая часть окна разделена на три области. Вверху можно выбрать разделы, которые планируется проверить, установив флажки напротив нужных пунктов. Если какой-то раздел не указан (например, вы сохраняете скачанные из Интернета файлы в одну папку и хотите проверить только ее), удобнее добавить его в этот список. Чтобы добавить новый каталог в список, нужно нажать кнопку Добавить и указать на него в файловом менеджере – он появится в окне выбора. При добавлении нового ресурса обратите внимание на флажок Включая вложенные папки: если он установлен, будут проверятся и подкаталоги выбранного ресурса.
Внимание!
Пока не выбран ни один каталог, ссылка Запустить проверку не активна.
Назначение области Запустить проверку отвечает названию. При нажатии одноименной ссылки начнется проверка выбранных файлов. Ее результат отобразится в текущем окне – будет показан процент выполнения задачи, количество проверенных файлов и ожидаемое время завершения.
Совет
Самым быстрым способом проверить файл, каталог или сменный носитель на наличие вирусов – щелкнуть на нем правой кнопкой мыши и в контекстном меню выбрать пункт Проверить на вирусы.
В этой области есть еще две ссылки. Нажав Настройка, вы можете указать уровень безопасности, то есть установить режим проверки файлов. Ссылка Новая задача проверки позволяет создать свою задачу по проверке каталогов или областей диска, которую можно выполнить одним нажатием кнопки.
Внимание!
Пользователь может создать не более четырех заданий проверки диска.
Для удобства разработчики сформировали несколько задач, позволяющих одним щелчком провести разные проверки. Эти задачи в виде ссылок размещаются в левой части окна в области Поиск вирусов: Критические области, Мой Компьютер, Объекты автозапуска и Поиск руткитов (rootkit). Принцип работы с этими задачами аналогичен поиску вирусов. После щелчка на любой из них на экране появляется информация о времени последнего проведения выбранной проверки, ее результате и режиме запуска. Чтобы полностью проверить систему, следует щелкнуть на ссылке Мой Компьютер, отметить нужные пункты и нажать Запустить проверку. Такая проверка занимает, как правило, много времени. Вы можете изменить предустановленные параметры, убрав или добавив участки проверок. Особое внимание уделите сменным носителям и сетевым диска. Если они не подключены, это может вызвать задержку в работе антивируса. Проверка на вирусы удаленных систем занимает больше времени, чем локального компьютера.
При обнаружении опасного объекта появляется уведомление. Оно может быть двух видов:
• Тревога – обнаружен вредоносный объект (рис. 2.11);
Рис. 2.11. Антивирус обнаружил опасный объект
• Внимание – обнаружен опасный или зараженный объект.
В качестве действий пользователю предлагается Лечить, Удалить и Пропустить. Их назначение понятно; выбор Удалить не приводит к полному уничтожению объекта, а перемещает его в резервное хранилище.
Если обнаружен вирус в чистом виде, а не зараженный вирусом файл, то его лечение бессмысленно, поэтому в таких случаях соответствующая функция недоступна, а в заголовке окна появится сообщение о невозможности лечения. Название вируса оформлено в виде гиперссылки, щелчок на которой позволит получить подробную информацию о нем на сайте /.
Нажатие кнопки Пропустить означает, что файл останется на месте, информация о событии занесется в журнал, а чтобы пользователь не мог случайно запустить зараженный файл, доступ к нему заблокируется антивирусом. Если вы не хотите нажимать кнопку при каждом обнаружении вируса, следует установить флажок Применить во всех подобных случаях, и антивирус будет самостоятельно выполнять указанное пользователем действие. В некоторых случаях программа, показавшаяся антивирусу подозрительной, таковой не является или действие, выполняемое ей, легально. Особенно часто такие сообщения будут поступать от проактивной системы защиты, задача которой состоит в поиске всего подозрительного. Чтобы подобные действия повторно не вызывали реакцию антивируса, такую программу следует добавить в список исключений. Для этого следует щелкнуть на ссылке Добавить в доверенную зону. Перед этим нужно внимательно ознакомиться с полученным сообщением – например, программы автодозвона не относятся к вирусам (рис. 2.12).
Рис. 2.12. Найден подозрительный файл
Если выбран пункт Добавить в доверенную зону, в появившемся окне нужно указать дополнительные параметры нового правила исключения (рис. 2.13).
Рис. 2.13. Настройка правила исключения
При формировании правила исключения можно изменить путь к объекту и указать вместо конкретного файла каталог либо список файлов по маске. Например, у меня есть набор вирусов, предназначенный для изучения и тестирования реакции различных систем защиты. Чтобы антивирус не реагировал каждый раз и не уничтожил эту коллекцию, я составил правило исключения, указав в нем весь каталог.
Можно также изменить Вердикт, то есть сообщение, добавив комментарий, или указать компонент, на который будет распространяться правило. В последнем случае щелчок на ссылке указанный приведет к переключению на любой, то есть на все компоненты будет одинаковая реакция. Если щелкнуть на названии компонента, появится список всех компонентов антивируса, и можно будет выбрать действия, которые в дальнейшем не будут вызывать реакцию системы защиты.
При обнаружении опасного объекта из колонок или наушников раздастся специфический звуковой сигнал.
Примечание
Вы всегда можете откорректировать объекты, находящиеся в доверенной зоне. Для этого нажмите кнопку Настройка, выберите категорию Угрозы и исключения, нажмите кнопку Доверенная зона и в появившемся окне удалите или добавьте Правила исключений и Доверенные приложения.
Настройка уровня безопасности и реакции антивируса
По умолчанию система защиты работает в оптимальном режиме – рекомендуемом. Возможно, что этот режим действительно оптимальный, однако некоторых пользователей он не устраивает. Изменить его можно следующим образом.
Нажмите кнопку Настройка и выберите категорию Поиск вирусов (рис. 2.14).
Рис. 2.14. Настройка уровня безопасности
В области Уровень безопасности можно выбрать один из предустановленных вариантов:
• Максимальная скорость – обеспечивает минимальную защиту, но меньше нагружает систему во время проверки; рекомендуется при работе в безопасной среде (например, без Интернета) и на маломощных компьютерах;
• Рекомендуемый – гарантирует оптимальную защиту и рекомендуется для большинства пользователей;
• Максимальная защита – обеспечивает наиболее полную защиту; рекомендуется при работе в опасной среде, но требует больше ресурсов.
Можно настроить собственный вариант проверок. Для этого нажмите кнопку Настройка. Откроется окно, изображенное на рис. 2.15.
Рис. 2.15. Настройка режима проверки вирусов
Данное окно содержит три вкладки: Общие, Дополнительно и Эвристический анализатор. На первой параметры размещены в трех областях (Типы файлов, Оптимизация и Составные файлы), на второй – в двух (Запуск задачи от имени и Дополнительные параметры). На вкладке Эвристический анализатор установкой соответствующих флажков активизируется обычный и расширенный режим проверки руткитов и включается эвристический анализатор. Ползунок Уровень проверки позволяет задать или изменить режим работы эвристического анализатора – от поверхностного до детального. В зависимости от рода работы и получаемых предупреждений следует подобрать оптимальный с точки зрения безопасности и удобства режим.
Вернемся на вкладку Общие. Если в области Типы файлов установить переключатель в положение Проверять все файлы, антивирус будет проверять все файлы без исключения. Такой режим не является оптимальным, так как некоторые файлы (например, текстовые с расширением TXT) заразить невозможно.
Установка переключателя в положение Проверять программы и документы (по содержимому) укажет файловому антивирусу на необходимость проверки файлов, основываясь на их внутреннем заголовке. Если окажется, что тип проверяемого файла заразить невозможно, дальнейшая проверка прекратится и файл станет доступным для пользователя. Такой режим ускоряет работу антивируса, но требует времени на анализ содержимого файла.
Режим Проверять программы и документы (по расширению) похож на предыдущий, только антивирус анализирует не заголовок файла, а его расширение. Такой вариант самый быстрый, однако злоумышленники часто изменяют расширение файла, и исполняемый вредоносный файл может иметь расширение TXT. Основываясь на расширении, антивирус при проверке пропустит такой файл, поэтому выбор данного режима рекомендуется в безопасной среде или на маломощных машинах.
Установка флажка Проверять только новые и измененные файлы в области Оптимизация позволяет сократить время на проверку системы. Здесь также можно указать действия с большими файлами. Установка флажков Остановить проверку, если она длится более … сек и Не проверять архивы размером более … Мб позволяет ограничить проверку одного файла по времени и (или) объему.
Совет
В некоторых случаях антивирусную защиту можно временно отключить. Для этого следует щелкнуть правой кнопкой мыши на значке программы в области уведомлений и в появившемся контекстном меню выбрать пункт Приостановка защиты. Можно также указать, через какое время или при каком действии антивирус должен автоматически включиться.
Параметры, расположенные в области Составные файлы, зависят от настроек в области Оптимизация. Так, флажок Проверять архивы может выглядеть как Проверять все/новые архивы. Если у вас есть архивы, защищенные паролем, пароль будет запрашиваться при попытке доступа к каждому из них. При большом количестве таких объектов проверка может затянуться и будет отвлекать пользователя. В таком случае лучше снять этот флажок, а архивы проверять по мере необходимости.
Перейдем на вкладку Дополнительно. Здесь при необходимости можно указать пользователя, от имени которого будет выполняться задача. Это может понадобиться, если в системе есть несколько учетных записей и пользователь, работающий в данный момент, не может получить доступ ко всем файлам и настройкам. На этой вкладке включаются технологии iChecker и iSwift, применение которых позволяет ускорить процесс проверки файлов за счет проверки только новых и изменившихся объектов. Технология iSwift актуальна только для объектов, расположенных в разделе, отформатированном в файловой системе NTFS.
Настроив параметры проверки, вернитесь в окно настройки поиска вирусов (см. рис. 2.14). Реакцию файлового антивируса на обнаружение вируса указывают в области Действие. Переключатель можно установить в одно из трех положений:
• Запросить по окончании проверки – файловый антивирус выполнит задание, после чего при обнаружении вирусов на экране появится сообщение, а в конце проверки – окно статистики с предложением выбрать действие;
• Запросить во время проверки – предложения выбрать действие будут поступать по мере обнаружения вирусов;
• Не запрашивать – программа не будет уведомлять пользователя об обнаружении подозрительных объектов; при этом с помощью флажков можно задать необходимое действие:
• Лечить – будет сделана попытка лечения объекта, а если она не удастся, объект будет помещен в карантин (если не выбрано следующее действие);
• Удалить, если лечение невозможно – опасный объект будет автоматически удален.
Предустановленные задачи проверки компьютеров (Критические области, Мой Компьютер и др.) имеют аналогичные параметры, и для каждой задачи их можно настроить индивидуально. Нажатием кнопки Применить в области Параметры других задач можно установить единые для всех задач параметры проверки.
Настройка проактивной защиты
Вы настроили основные параметры проверки антивирусным сканером. Как вы помните, при обращении к файлу, проверке почты, работе в Интернете антивирус задействует еще один элемент – монитор. Для настройки режима проверки объектов на лету необходимо щелкнуть на ссылке Настройка и выбрать категорию Защита. Большинство параметров схожи с параметрами раздела Поиск вирусов. Это удобно, так как не нужно повторно изучать настройки, однако может запутать, так как по ошибке можно настроить не тот компонент. Есть и отличия: каждый компонент можно отключить или включить, сняв или установив соответствующий флажок. Например, на вкладке Файловый Антивирус – это Включить Файловый Антивирус. Все должно работать, но если компьютер не подключен к Интернету или какой-то компонент вызывает проблемы, его можно отключить здесь.
На вкладках Почтовый Антивирус и Веб-Антивирус присутствует поле Встраивание в систему, в котором установкой соответствующих флажков настраивается проверка специфического трафика и поддержка приложений, о которых говорилось выше. Если вы не используете их в работе, оставьте флажок на месте – если вы решите перейти, например, на The Bat!, вы будете автоматически защищены.
Отличается от других только проактивная защита (рис. 2.16).
Рис. 2.16. Настройка проактивной защиты
Проактивная защита выполняет важную задачу – обнаружение неизвестных вирусов, поэтому отключать ее не рекомендуется. Однако в максимальном режиме защиты система выдает большое количество информации, разобраться с которой может только подготовленный пользователь. Ее основные параметры следующие.
• Анализ активности приложений. При установленном флажке Включить анализ активности на основе созданных правил отслеживается активность приложений и анализируются попытки запуска браузера со скрытыми параметрами, внедрения в чужой процесс, подозрительное значение в реестре или активность в системе.
• Контроль целостности приложений. При установленном флажке Включить контроль целостности отслеживается контрольная сумма и состав модуля основных приложений и компонентов системы, которые представляют повышенный интерес для вирусов. Вы можете удалить или добавить компоненты и установить реакцию на их изменение.
• Мониторинг системного реестра. Флажок Включить мониторинг системного реестра отвечает за отслеживание попыток изменения контролируемых веток реестра.
Примечание
В версии 6.0 присутствовал еще один пункт – Проверка VBA-макросов, активизация которого разрешала контроль над действиями, выполняемыми макросами.
Настройка исключений
Классификация вирусов и прочих вредоносных объектов – непростая задача, и к подозрительным могут быть причислены безобидные программы. Во избежание блокировки антивирусом нужной программы следует воспользоваться возможностями управления исключениями и выбора категорий вредоносного программного обеспечения. Все настройки производятся на вкладке Настройка → Угрозы и исключения.
Здесь расположены две области. В поле Категории вредоносного ПО выбираются типы опасных программ, которые будет обнаруживать «Антивирус Касперского». Флажок Вирусы, черви троянские и хакерские программы по умолчанию установлен, и снять его нельзя. Пользователь может остановить проверку только двух типов вредоносных программ, сняв соответствующий флажок, – Шпионское, рекламное ПО, программы скрытого дозвона и Потенциально опасное ПО (riskware).
В поле Исключения можно указать программы, которые не будут проверяться «Антивирусом Касперского». Здесь нужно нажать кнопку Доверенная зона и, выбрав вкладку Правила исключений или Доверенные приложения, добавить нужные приложения.
После настройки всех описанных параметров «Антивирус Касперского» будет добросовестно защищать систему. В комплекте с программой поставляется файл документации, поясняющий настройки. Щелкнув на ссылке
вы можете получить исчерпывающую информацию о конкретном пара метре.
AVG Free Edition
Перейдем к одной из разработок чешской компании Grisoft – бесплатному антивирусу AVG Free Edition. Эта антивирусная программа обладает хорошей функциональностью, однако пользователь бесплатной версии может работать только с английским интерфейсом. AVG Free Edition лишена технической поддержки, хотя на форуме проекта можно задать любой вопрос.
В планировщике бесплатной версии приложения можно использовать только два предустановленных задания: одно отвечает за автоматическое обновление, второе – за проверку жесткого диска компьютера. В них можно изменить только время запуска.
Ранее, чтобы скачать и начать работать с AVG Free Edition, была необходима регистрация, а номер, который приходил на указанный при регистрации электронный адрес, требовался во время установки. Теперь можно просто скачать файл с сайта /, запустить его обычным образом и отвечать на вопросы установщика. В большинстве случаев достаточно нажимать кнопку Next, подтверждая установки по умолчанию. Согласитесь с лицензией, примите ограничения, установленные для версии Free, выберите тип установки – стандартная или выборочная (в большинстве случаев достаточно остановиться на предлагаемом по умолчанию – Standart Installation, и программа инсталлируется).
После установки на экране появится First Run – мастер, задача которого – упростить первичную настройку антивируса для достижения максимальной защищенности системы. Мастер предлагает четыре этапа.
1. AVG Free Update – обновление антивирусных баз.
2. Virus Scan – проверка жесткого диска компьютера на наличие вирусов. Если антивирусные базы не обновлялись, быть полностью уверенным в проверке нельзя.
3. Daily Scaning – установка приоритета задания при ежедневной проверке компьютера.
4. AVG Free Registration – регистрация, которая дает возможность просматривать сообщения на форуме проекта.
Любой из шагов можно пропустить нажатием Next и настроить соответствующие параметры позже. Вас поздравят с успешной установкой, а в области уведомлений появится значок . Если значок цветной, все модули программы работают нормально и антивирусные базы свежие. Если он черно-белый, это означает ошибку. Чтобы выяснить, в чем проблема, следует обратиться к Control Center (рис. 2.17). Для этого необходимо либо нажать соответствующую кнопку в окне Test Center (если оно открыто), либо выполнить команду Пуск → Все программы → AVG Free Edition → AVG Free Control Center.
Рис. 2.17. Control Center антивируса AVG
Компонент, работающий неправильно, будет выделен красным. В некоторых случаях о проблеме сообщается с помощью всплывающей подсказки.
Компоненты антивируса AVG
AVG Free Edition содержит три компонента, позволяющих защитить систему.
• Resident Shield – резидентный монитор, который постоянно контролирует события, происходящие на компьютере. При обращении к инфицированному объекту программа блокирует его. Достаточно зайти в каталог, в котором находится зараженный файл, – приложение без участия пользователя просканирует все объекты и в случае обнаружения вирусов или других подозрительных файлов выдаст предупреждение. Реализация этого элемента привела к тому, что я пользуюсь AVG несколько лет. Даже при маломощном компьютере класса Celeron 300A с оперативной памятью 256 Мбайт присутствие монитора незаметно, программы запускаются практически мгновенно, все вирусы обнаруживаются. Файлы небольшого размера (приблизительно до 1 Мбайт) проверяются быстро.
• Задача E-mail Scanner – проверка всей исходящей и входящей почты на наличие вирусов. Сообщения могут автоматически информировать о произведенной проверке. Обнаруженный в письме вирус отправляется на карантин, о чем в письмо добавляется оповещение. Работа реализована в виде плагинов: имеются плагины для почтовых клиентов The Bat!, Eudora, Microsoft Outlook и еще один – Personal. Последний позволяет указать каталоги, в которых хранятся сообщения почтовых клиентов, для которых не разработаны плагины, и проверяет такие сообщения.
• Test Center – сканер, запускаемый пользователем или с помощью планировщика. Предназначен для проверки жестких дисков компьютера на наличие вирусов. Resident Shield обеспечивает хорошую защиту от вирусов, однако наиболее полная проверка выполняется именно в Test Center. При каждом запуске проверяются также загрузочные секторы дисков и память.
Другие компоненты являются вспомогательными. Update Manager позволяет обновить антивирусные базы, а их статус отображает компонент Anti Virus. За расписание проверок и обновлений отвечает Scheduler, а если включен модуль Shell Extension, то проверку можно выполнять с помощью контекстного меню Windows. Все найденные вирусы, которые невозможно вылечить, не удаляются, а по умолчанию переносятся в Virus Vault.
Обновление антивирусных баз
Несмотря на отсутствие локализации, работать с антивирусом просто.
Обновление можно запустить несколькими способами. Можно нажать кнопку Check for Updates, которая расположена в левой части окна Control Center. Появится окно, позволяющее выбрать источник обновлений (рис. 2.18). Если настроено соединение с Интернетом, нужно выбрать Internet. Если необходимые для обновления файлы скачаны вручную, выберите Folder и укажите каталог, в котором они находятся.
Рис. 2.18. Выбор источника обновлений
Совет
Все скачанные обновления по умолчанию помещаются в папку C:\Documents and Settings\All Users\ApplicationData\Grisoft\Avg7Data\upd7bin. Если планируется переустановка системы, сохраните все файлы в другой каталог, а затем укажите его при обновлении, чтобы не нужно было скачивать обновления повторно.
Если установить флажок Do not ask for update source next time, при следующем обращении не будет запрашиваться источник, а обновление будет производиться с выбранного ранее ресурса. После подтверждения начнется обновление, и на экране будет отображаться ход процесса (рис. 2.19).
Рис. 2.19. Процесс обновления баз
Для настройки автоматического обновления антивирусных баз выберите модуль Scheduler и нажмите кнопку Scheduled Task, расположенную в нижней части окна (можно также воспользоваться контекстным меню, которое вызывается щелчком правой кнопки мыши на области Scheduler). В версии Free доступны две задачи (рис. 2.20). Позиция Name означает название задачи, Type – ее тип, Last start и Next start – время соответственно последнего и следующего запусков задачи, Status – статус выполнения задачи при последнем запуске и Scheduled for – пользователи, которым разрешено ее выполнение. Выберите задачу с типом Update и нажмите кнопку Edit Schedule.
Рис. 2.20. Расписание задач планировщика AVG
Для включения автоматического обновления нужно установить флажок Periodically check for Internet updates и в раскрывающемся списке Check daily выбрать время обновления. Установка флажка If Internet connection is not available, check when it goes on-line позволит запустить пропущенное обновление при первом соединении с Интернетом.
Проверка дисков компьютера
Проверять диски компьютера так же просто, как обновлять антивирусные базы. Если включен Resident Shield, файлы проверяются при каждом обращении к ним.
Для проверки дисков вызывается Test Center (рис. 2.21).
Рис. 2.21. Test Center антивируса AVG
Доступно три варианта сканирования по запросу. В данном окне доступны только два из них.
• Scan Computer – полное тестирование системы, проверка всех жестких дисков, имеющихся в компьютере. Параметры такого сканирования задаются заранее, и для начала проверки достаточно нажать кнопку Scan Computer.
Если проверка была прервана, то при следующем запуске будет выдан запрос на возобновление сканирования с последней позиции (рис. 2.22). Такое возобновление возможно благодаря тому, что в корне каждого раздела диска создается скрытый каталог $vault$.avg, в который заносятся результаты проверки.
Рис. 2.22. Возобновление сканирования с последней позиции
• Scan Selected Areas – пользователь сам указывает, какие разделы необходимо проверить. Нужно отметить разделы и нажать соответствующую кнопку.
Таблица разделов, загрузочный сектор диска С:, системная область и реестр проверяются при выборе любого варианта теста. Их можно проверить и отдельно, выполнив команду меню Tests → Scan System Areas или нажав клавишу F3. С помощью меню Tests можно настроить параметры любого теста. Например, выберите пункт Complete Test Setting. Появится окно, представленное на рис. 2.23.
Рис. 2.23. Наcтройка параметров сканирования
Это окно содержит четыре области.
• Test name and description – позволяет задать описание теста.
• Scanning parameters. Если установить флажок Scan files without interruption, то при обнаружении вируса проверка прерываться не будет, а если установить и флажок Automatically heal infected files, такие файлы будут сразу удаляться.
• Scanning properties. Здесь настраиваются параметры сканирования. Установленный флажок Scan System Areas before the test starts указывает на необходимость проверки системной области, флажок Use heuristic Analysis включает эвристический анализатор, Scan inside archives задает проверку файлов внутри архивов.
• File extensions – настройка проверки файлов на основании расширения. При установке переключателя в положение Scan all files будут проверяться все файлы без исключения, Scan all infectable files – файлы, которые можно заразить, а флажок и поле Add extensions позволяют самостоятельно задать список расширений файлов для проверки.
Нажатием кнопки ОК подтвердите изменения и выйдите из режима настроек. Если вы считаете, что при настройке допустили ошибку, параметры можно вернуть в исходное состояние нажатием кнопки Default.
Совет
Чтобы быстро проверить файл или папку, можно выбрать в контекстном меню пункт Scan with AVG Free.
Теперь, чтобы проверить диски компьютера, достаточно открыть окно Test Center и нажать кнопку Scan Computer. Если при сканировании программа обнаружит вирус, который нельзя вылечить, зараженный файл будет помещен в Virus Vault (рис. 2.24).
Рис. 2.24. Здесь AVG хранит обнаруженные вирусы
Назначение Virus Vault – безопасное хранение зараженных объектов. Чтобы избежать случайностей, имя файла изменяется, тело шифруется, но сохраняется возможность восстановления файла. В Virus Vault можно еще раз попытаться вылечить, удалить или восстановить объект.
Для автоматического удаления файлов выполните команду меню Service → Program Settings. Здесь можно задать максимально допустимые размер и количество хранимых файлов (при этом наиболее старые файлы будут автоматически удалены) или указать срок хранения подозрительных.
По окончании сканирования можно получить общий или полный отчет о выполненной проверке.
AVG предупреждает о скрытом, то есть двойном расширении файла (hidden extention) – любимом приеме создателей вирусов; при этом файл полностью блокируется, не позволяя пользователю открыть его (рис. 2.25).
Рис. 2.25. Предупреждение о скрытом расширении файла
Этот простой, но эффективный прием позволяет в большинстве случаев предотвратить негативные последствия, но, к сожалению, используется не во всех программах защиты.
Антивирус Avast! Home Edition
Антивирус Avast! Home Edition прост в установке. Получить его можно на сайте проекта -avast-home.html. Необходимо скачивать файл, помеченный как Russian version, – в этому случае интерфейс антивируса будет локализован. Следует также перейти на страницу -registration.php, зарегистрироваться и получить ключ активизации, иначе установленный антивирус будет работать только в течение 60 дней в демонстрационном режиме. Выберите в раскрывающемся списке Registration language русский язык – меню русифицируется. Далее дважды введите правильный электронный адрес и в поле Control Letters – буквы, изображенные на картинке. Остальные параметры не обязательны. После нажатия кнопки Регистрация на указанный электронный адрес придет ключ и инструкции по его установке на русском языке.
Далее запустите исполняемый файл и следуйте указаниям мастера установки. На определенном этапе вам предложат выбрать конфигурацию антивируса: Нормальная, Минимальная и Выборочная. В варианте Нормальная содержатся все необходимые для работы компоненты. Если хотите что-то убрать, используйте вариант Выборочная. После установки антивируса в Панели задач появятся два новых значка.
После установки появится основное окно программы (рис. 2.26), внешний вид которого можно изменить с помощью тем.
Рис. 2.26. Интерфейс Avast! Home Edition
Большое количество тем можно найти на сайте проекта. Чтобы их подключить к Avast! Home Edition, следует скопировать полученный файл в каталог C:\Program Files\Alwil Software\Avast4\DATA\Skin и дважды щелкнуть на архиве – тема станет доступна в меню Выбрать обложку. Некоторые темы не локализованы.
В Avast! Home Edition обновления разделены на две части: обновление модулей программы и антивирусных баз. Для каждой можно указать свой режим обновления. Для этого достаточно перейти в Настройки программы, выбрать пункт Обновление (основной) и указать нужный режим обновления в каждой области:
• Антивирусная база данных – для обновления антивирусных баз;
• Программа – режим обновления модулей программ.
В обеих областях доступны три варианта обновления:
• Выполнять обновления автоматически – при наличии последних обновлений компоненты обновляются автоматически (без запроса пользователя);
• Уведомлять о возможности выполнения обновлений – проверяется наличие новых баз и модулей программы, если таковые обнаруживаются, пользователю выдается запрос;
• Выполнять обновления вручную – пользователь сам решает, когда обновлять антивирус.
По умолчанию настройки соединения с Интернетом берутся в Internet Explorer. Параметры подключения к Интернету настраиваются в меню Обновление (Подключение).
Выбор объектов проверки производится с помощью кнопок. Доступны три кнопки. Одна отвечает за выбор всех разделов диска, вторая поможет выбрать сменные носители, третья предназначена для отбора конкретных каталогов.
После того как задание сформулировано, нажмите кнопку Запустить.
Совет
Быстро проверить каталог или файл можно, выбрав в контекстном меню пункт Сканировать.
Некоторые настройки можно произвести из контекстного меню, вызываемого щелчком на значке. Отсюда можно настроить сканер доступа, приостановить работу резидентных провайдеров, обновить базу данных, настроить параметры резидентной защиты, установить или изменить пароль, защищающий доступ к антивирусу.
Примечание
Резидентными провайдерами в антивирусе Avast! Home Edition называются модули, отвечающие за защиту специфических подсистем компьютера: файловая подсистема, электронная почта, веб, сети мгновенного обмена сообщений, сетевой экран и др.
2.4. Программы для поиска руткитов
Обнаружить руткит в системе крайне сложно. Пользователь может не догадываться о его наличии, хотя сигнатуры самых известных руткитов занесены в антивирусные базы и каждый антивирус может найти эти приложения.
Ознакомиться со специализированными утилитами, предназначенными для поиска руткитов, и иметь их под рукой полезно, тем более что они просты в использовании.
Руткиты некоторых типов можно обнаружить вручную. Достаточно поместить систему защиты руткита в обстановку, где она не будет работать. Например, загрузившись в безопасном режиме с загрузочного WinPE или с другой системы, можно сравнить результат выполнения команд dir, s, b, ah с помощью утилиты WinDiff () или Compare It! (/). Найденные расхождения могут свидетельствовать о проблеме.
Такой подход приемлем не всегда, поэтому можно воспользоваться специальными утилитами, которые сравнивают ответы процессов на разных уровнях во время работы системы. Примером может служить самая простая в использовании коммерческая разработка компании Greatis Software – UnHackMe (/) (рис. 2.27), умеющая останавливать подозрительные процессы и полностью удалять их с диска.
Рис. 2.27. Окно утилиты для поиска руткитов UnHackMe
Для поиска запрятанных руткитов достаточно нажать кнопку Check Me Now!– начнется проверка всех запущенных процессов. Если в системе нет отклонений, на экран будет выведено соответствующее сообщение. Чтобы попрактиковаться в удалении руткитов, можно щелкнуть на кнопке Demo – вам предложат поучаствовать в удалении руткита HackerDefender. Программа не бесплатна и после установки будет работать в течение 30 дней, после чего нужно будет ее удалить или заплатить. В последних версиях добавился резидентный монитор, защищающий систему в реальном времени, и RegRun Reanimator, позволяющий контролировать объекты автозапуска.
Бесплатная утилита RootkitRevealer, разработанная компанией Sysinternals (сейчас – собственность Microsoft: ), также проста в использовании и может работать в графической среде или запускаться из командной строки. Для проверки системы необходимо только распаковать архив, запустить исполняемый файл, убедиться, что в меню Options установлены флажки Hide NTFS Metadata Files и Scan Registry, после чего закрыть все приложения, нажать кнопку Scan и некоторое время не работать на компьютере.
Утилита RootKit Hook Analyzer (/) позволяет обнаружить руткиты, перехватывающие системные вызовы. Программа бесплатна: для проверки системы достаточно установить ее и нажать кнопку Analyse. По окончании на экране появятся результаты проверки. Процессы, вмешивающиеся в работу других сервисов, будут помечены красным цветом, а в столбце Hooked на вкладке Hooks будет отображаться YES (рис. 2.28).
Рис. 2.28. Поиск руткитов с помощью RootKit Hook Analyzer
Для удобства можно вывести список только таких сервисов, установив флажок Show hooked services only. На отдельной вкладке выводятся загруженные модули. Особый интерес представляют те, которые прячут путь (patch) и не имеют описания. Разобраться с результатом может не каждый пользователь, зато можно периодически просматривать список, например, сделав экранный снимок, не появилось ли что-то новое.
Глава 3 Проактивные системы защиты и системы контроля целостности
Антивирус не панацея
Проактивная система защиты Safe'n'Sec
Часовой Scotty
Всесторонний контроль RegRun
Контроль целостности с Xintegrity
Появившиеся первыми, антивирусы долгое время одни защищали компьютеры пользователей. Однако постепенно стало ясно, что для полноценной защиты необходимы дополнительные элементы или другие программы.
3.1. Антивирус не панацея
Сегодня пользователи высказывают по поводу антивирусов различные мнения – от полной уверенности в защите до того, что главное – выдержать первый удар. Иногда антивирусы используются не столько как защита, сколько как средство оценки нанесенного ущерба и удаления вредоносных модулей. Система обнаружения, учитывающая опыт предыдущих атак, становится бесполезной при столкновении с неизвестным вирусом или шпионской программой. Чтобы сгенерировать сигнатуру, антивирусной компании необходимо получить экземпляр вируса, выделить фрагмент, характерный только для него, после чего занести вирус в базу. Это занимает время (в случае полиморфного вируса процесс создания сигнатуры может сильно затянуться), в течение которого антивирусы недееспособны, и новый червь может успеть заразить сотни тысяч компьютеров. Таким образом, классические сигнатурные антивирусы не способны предотвратить глобальную эпидемию.
Используя различные подходы и технологии, системы защиты пытаются остановить неизвестные атаки. Можно выделить несколько подходов: эвристический анализ, поведенческие блокираторы, политика безопасности и системы контроля целостности. Каждый имеет достоинства и недостатки, поэтому в современных продуктах они комбинируются, что повышает точность и помогает избежать ошибок при определении подозрительной деятельности приложений.
Практически все современные антивирусы имеют модуль проактивной защиты. Например, проактивная защита «Антивируса Касперского» использует для детектирования неизвестных вирусов все указанные технологии. По результатам тестов, точность проактивных систем не всегда составляет 100 %, поэтому они играют вспомогательную роль. Кроме прочего, антивирусы должны проверять файлы традиционным способом, поэтому такая система защиты ресурсоемка. При реализации проактивной защиты разработчики привязаны также к движку антивируса, который часто не дает полностью реализовать потенциальные возможности.
Нашлись энтузиасты, которые разработали системы защиты, действующие от обратного: сначала проактивность, а антивирус – по желанию. Такие системы не связаны антивирусным движком и могут максимально использовать возможности проактивных технологий. Если на компьютере установлен антивирус, то совместно с одной из программ, которые будут рассмотрены далее, они смогут защитить компьютер от неизвестных угроз.
Такие решения еще не получили широкого применения. Пользователи, привыкшие каждый день обновлять базы, воспринимают их с недоверием. Антивирусные компании также не желают сдавать позиции. Однако проактивные системы защиты находят все более широкое распространение, поэтому с ними следует ознакомиться.
Решения, позволяющие выявить или предотвратить нападение, относят к системам обнаружения или системам предотвращения атак. Первые позволяют зафиксировать факт атаки, вторые – не только обнаруживают, но и останавливают ее. Требования к системам, предотвращающим атаки, жестче, так как любая ошибка может привести к блокировке легального запроса. Реализации этих систем работают с различными данными: они анализируют сетевые пакеты, системные запросы, файлы журналов и пр. Системы предотвращения атак делятся на два класса: одни защищают отдельный компьютер (host intrusion prevention system), другие – ориентированы на сеть (network intrusion prevention system). В данной главе описаны решения, относящиеся к первому типу. О системах, защищающих сетевую часть, будет рассказано в главе 5.
3.2. Проактивная система защиты Safe'n'Sec
Российская компания StarForce (-force.ru/) известна одноименным механизмом защиты дисков от нелегального копирования. Ее новая разработка Safe'n'Sec (/), представленная в ноябре 2004 года, сразу получила признание, а журнал PC Magazine/RE назвал ее антивирусом месяца. Safe'n'Sec не относится к антивирусам, а принадлежит к классу систем проактивной защиты, которые анализируют подозрительное поведение пользователя или программы.
Для малых и средних предприятий, а также индивидуального, в том числе домашнего, использования предназначены версии Personal и Pro. Версии Business и Enterprise, обладающие дополнительными возможностями по защите компьютеров корпоративной сети предприятий различного уровня от вредоносного ПО, вторжений в сеть и инсайдеров, для домашнего компьютера излишни (хотя, например, их модуль Timing, представляющий собой систему контроля активности сотрудника и учета рабочего времени, будет полезен для отслеживания времени, проведенного за компьютером ребенком).
Продукт Safe'n'Sec доступен в нескольких вариантах. Самым простым является Safe'n'Sec Pro Персональный – стандартная разработка, обеспечивающая проактивную защиту компьютера, отслеживающая поведение вредоносных программ и осуществляющая их блокировку, защищает компьютер от небезопасных действий начинающих пользователей. Версия Safe'n'Sec Pro Deluxe кроме этого обеспечивает защиту от руткитов и лечит инфицированные файлы. Существуют также комбинированные решения. Safe'n'Sec Pro Deluxe + Elcom soft system recovery дополнительно к возможностям варианта Deluxe содержит модуль Elcomsoft system recovery (ESR), который предоставляет возможность доступа в Windows с нужными привилегиями в случае утери пароля или если учетная запись случайно заблокирована. Вариант Safe'n'Sec Pro + Антивирус Dr.Web – расширенная версия, имеющая дополнительный антивирусный движок Dr.Web, который позволяет обнаруживать известные на данный момент вирусы. Версия Safe'n'Sec Pro Deluxe + AdsCleaner представляет собой систему блокировки рекламы и обеспечения комфортной и безопасной работы пользователя в Интернете, в том числе очищая в конце работы следы активности. Вариант Safe'n'Sec Personal + Anti-Spyware – расширенная версия, дополнительно имеющая сканер Anti-Spyware Module, который позволяет обнаруживать известные программы-шпионы. Safe'n'Sec Персональный + Outpost Firewall Pro, кроме контроля программ, работающих на компьютере, следит за сетевым трафиком компьютера и делает его невидимым для хакеров.
В основе технологии Safe'n'Sec лежит перехват системных вызовов на уровне операционной системы. Основу продукта составляет модуль System Interceptor, который загружается одним из первых и перехватывает все системные вызовы любых приложений. Это позволяет обнаруживать комбинированные атаки, предотвращать попытки внести изменения в системный реестр или состояние сервисов операционной системы, получить доступ к регистрационным данным пользователя и пр. Механизм принятия решения Safe'n'Sec действует на основе правил, которые учитывают все возможные последовательности действий, классифицируемых как вредоносные.
Примечание
Основная идея Safe'n'Sec состоит в том, что данные поражаются не вирусом, а в результате выполнения им вредоносных действий.
После обнаружения подозрительного приложения Safe'n'Sec самостоятельно принимает решение о его вредоносности и уведомляет пользователя, который должен определить, что с ним делать (разрешить или заблокировать). Для упрощения решения доступна история активности, по которой можно подробно изучить последовательность действий, выполненных приложением. Дополнительно из консоли можно получить доступ к списку запрещенных и доверенных приложений, который можно здесь же отредактировать.
На момент написания данной книги актуальной была версия 2.5. Для примера установим Safe'n'Sec, имеющую в составе антивирусный модуль. Недавно мне попался очередной тест, в результате которого проактивная система обнаружила больше вирусов, чем антивирусный модуль. Версия с антивирусным модулем представляет собой компромисс и понравится пользователям, которые пока не доверяют новому методу защиты, но которым надоели бесконечные обновления антивирусных баз.
Установка заключается в запуске исполняемого файла. Наилучшим вариантом является инсталляция на чистую систему. В этом случае по мере установки новых приложений вы будете постепенно заполнять внутреннюю базу Safe'n'Sec, хотя это не критично. Сам процесс прост, достаточно нажимать кнопку Далее, оставляя значения, предлагаемые по умолчанию. Если устанавливается комплексное решение, необходимо отметить флажками нужные компоненты. На четвертом шаге вас попросят выбрать интерфейс (рис. 3.1).
Рис. 3.1. Выбор типа интерфейса
Оставьте все как есть (Простой интерфейс (для большинства пользователей)): позже вы сможете перейти к расширенному варианту; он выдает много технической информации, справиться с которой может не каждый пользователь. Safe'n'Sec также может контролировать сетевую активность приложений. Если вы используете межсетевой экран, флажок Контролировать сетевую активность приложений лучше не устанавливать.
В последнем окне мастера установите флажок Запустить Safe'n'Sec Assistant. Установка завершена.
При первом запуске инициализируется внутренняя база приложений. Это может занять некоторое время, затем появится окно Safe'n'Sec Pro+Anti-Virus Assistant (рис. 3.2).
Рис. 3.2. Ассистент Safe'n'Sec
В пошаговом режиме вам предложат указать лицензионный ключ продукта (при работе с пробной версией этот шаг можно пропустить, нажав кнопку Далее), установить имеющиеся обновления антивирусных баз и запустить полную проверку системы на вирусы. В последнем окне появится список всех установленных на компьютере приложений – следует указать их статус (известное или неизвестное). Если вы доверяете программе, установкой флажка возле него можно убрать его из списка контролируемых Safe'n'Sec. Нажатием ссылки Добавить можно вручную занести приложение в список, указав путь к исполняемому файлу. Это может понадобиться, если приложение не найдено в автоматическом режиме, например не требует инсталляции для работы. Если в список внесены изменения, не забудьте нажать ссылку Применить. Закончив работу с ассистентом, следует нажать кнопку Закрыть – в области уведомлений появится значок Safe'n'Sec в виде носорога.
Примечание
Если вы сомневаетесь в некоторых настройках, оставьте значение, предложенное по умолчанию, – при необходимости его можно будет изменить.
Работа с программой происходит в окне Консоли управления, которое можно открыть, выбрав соответствующий пункт в меню Пуск либо дважды щелкнув кнопкой мыши на значке в области уведомлений.
Окно Консоли управления (рис. 3.3) можно разделить на две части. Слева расположены ссылки на функции защиты и настройки, справа отображаются статус работы и статистика. Щелчок на любом пункте в обеих частях приведет к появлению дополнительной информации или выполнению указанного действия.
Рис. 3.3. Консоль управления
Проверить файлы с помощью встроенного антивируса можно двумя способами:
• щелкнуть правой кнопкой мыши на значке файла или папки и из контекстного меню выбрать пункт Поиск вирусов;
• щелкнуть на ссылке Поиск вирусов в левой части Консоли управления.
Программа проста в использовании и в большинстве случаев функционирует в фоновом режиме, не мешая пользователю работать. Если известное приложение пытается выполнить разрешенное действие, то пользователь просто информируется о происходящем (рис. 3.4).
Рис. 3.4. Информация о запуске известного приложения
Если активность приложения расценена как опасная и ситуация требует решения пользователя, появится соответствующее уведомление (рис. 3.5).
Рис. 3.5. Запрос на выполнение подозрительного действия
В таком случае необходимо Разрешить или Заблокировать дальнейшее выполнение программы. Если такое сообщение появляется вне зависимости от действий пользователя, то действие можно считать подозрительным и блокировать.
Вернемся к Консоли управления Safe'n'Sec. Чтобы просмотреть список активных процессов, следует щелкнуть на ссылке Процессы и приложения в области Статус. В зависимости от зоны выполнения процессы разбиты на группы. После установки их две: Доверенные приложения и Настраиваемые приложения. Для каждого процесса приведена следующая информация: его имя, производитель программного обеспечения, в состав которого включен активный процесс, краткое описание и сетевая активность в данный момент. Если выделить процесс и щелкнуть на кнопке Свойства, появится окно с дополнительной информацией. На вкладке Процесс выведены данные, о которых говорилось выше. Щелкнув на ссылке Соединения, вы можете просмотреть список открытых сетевых соединений, здесь можно узнать IP-адреса (локальный и удаленный), номер порта и состояние соединения.
При щелчке правой кнопкой мыши на строке процесса появляется контекстное меню, с помощью которого его можно переместить в ограниченную или защищенную зону, заблокировать, удалить с компьютера, убрать или добавить в список доверенных приложений.
Если нужного приложения в списке нет, для его занесения в список нажмите кнопку Добавить и укажите исполняемый файл.
Политика контроля активности приложений действует на основе правил. Если приложение известно, то правила его работы уже созданы. В противном случае это должен сделать пользователь. В Safe'n'Sec используются правила двух видов: общие (действуют для всех приложений) и частные (применяются к конкретной программе).
Совет
Список известных приложений желательно периодически обновлять. Для этого достаточно щелкнуть в окне Консоли управления на пункте Обновление программы – запустится обновление политики контроля активности и список известных приложений, модулей программы и антивирусных баз.
Новое правило можно создать из трех позиций:
• из списка активных процессов;
• из перечня контролируемых приложений (список доступен только в расширенном варианте интерфейса);
• из уведомления об опасной активности (см. рис. 3.5).
Первые две позиции требуют подготовки пользователя и анализа работы приложений. Самым простым является третий вариант. Пользователь занимается привычной работой, а при обнаружении опасной деятельности какоголибо приложения Safe'n'Sec самостоятельно принимает решение и сообщает об этом. Пользователю остается только определить, что делать с такой программой.
Защита всех данных осуществляется в соответствии с политикой контроля активности, определяющей, какие действия и в какой последовательности нужно считать вредоносными. Имеются три политики – жесткая, строгая и доверительная. Чтобы изменить действующую политику, следует щелкнуть в окне Консоли управления на ссылке Настройка, а затем на ссылке Контроль активности (рис. 3.6).
Рис. 3.6. Изменение политики контроля активности
Устанавливая переключатель в области Режим защиты, включите или отключите контроль активности приложений. Установка флажка Режим обучения разрешит автоматическую регистрацию активности неизвестных Safe'n'Sec приложений. Его рекомендуется использовать сразу после установки.
Обратите внимание на параметры в области Дополнительные действия. Если установить флажок Разрешить и не контролировать приложение, то после принятия решения при возникновении подобной ситуации программа не будет беспокоить пользователя. Установка флажка Заблокировать и запретить выполнение приведет к блокированию только текущего действия, а при установке флажка Заблокировать и завершить приложение будет закрыто приложение, вызвавшее процесс, который пытался выполнить опасное действие.
Если у вас установлен расширенный интерфейс, то в этом окне появится кнопка Дополнительно, нажав которую вы получите доступ к еще нескольким параметрам. На вкладке Области контроля установкой соответствующих флажков активизируется контроль активности приложений с системными файлами, системным реестром, взаимодействие процессов, сетевая активность и контроль выполнения приложений. На вкладке Режим обучения настраивается продолжительность обучения (количество дней после обнаружения неизвестной активности), оповещения пользователя и ведение журнала активности нового приложения.
Для тестирования работоспособности вместе с программой поставляется утилита snstest.exe, которая имитирует занесение данных в системный реестр, попытку записи и удаления из системного каталога.
3.3. Часовой Scotty
Этой простой программой я пользуюсь уже пятый год, начиная с версии 6.0. Она называется WinPatrol (/). На момент написания книги актуальной является 11-я версия, которая работает в системах Windows 98, ME, 2000, NT и XP. Ее можно использовать в Windows 95. Однако тогда необходимо предварительно ознакомиться с инструкциями по адресу . Программа распространяется свободно, но за плату можно получить доступ к дополнительным функциям WinPatrol PLUS и к сетевой базе данных, цель которой – помочь пользователям разобраться в списке незнакомых названий процессов (например, надпись service.exe в таблице процессов ничего не скажет большинству пользователей). При активизации PLUS изменение параметров будет контролироваться в реальном времени. Локализованную версию можно скачать по адресу .
После установки WinPatrol создает снимок критических системных ресурсов и предупреждает пользователя в случае любых изменений. Все просто, но эффективно. В области уведомлений появляется значок с изображением собаки. Этот Scotty будет следить за всем, что происходит на компьютере, узнавать о саморазмножающихся вирусах, Adware, Spyware, троянах и Cookies. WinPatrol позволяет подтверждать установку любых новых программ. С этой программой мне удалось пережить не одну эпидемию, и однажды после очередной атаки Scotty предупредил, что в системе появился новый сервис. Так я познакомился с I-Worm/Netsky.B.
В большинстве случаев после установки WinPatrol готов к работе и будет беспокоить пользователя только в случае обнаружения проблемы.
Двойным щелчком на значке в области уведомлений вызовите программу (рис. 3.7).
Рис. 3.7. Окно программы WinPatrol
Окно программы содержит несколько вкладок. Перейдя на вкладку Автозагрузка, вы сможете просмотреть список всех приложений, запускаемых при загрузке операционной системы, и при желании отредактировать его, то есть остановить, включить или удалить из него любую программу. Щелкнув дважды на выбранной позиции, вы получите информацию о ней (название, версию программы, параметр реестра и пр.). Единый отчет обо всех программах выводится при выборе пункта Полный отчет в контекстном меню. При первом запуске WinPatrol просматривает список автоматически запускающихся программ и при его изменении предупреждает об этом пользователя.
Перейдя на вкладку Работающие программы, вы получите информацию о запущенных на данный момент программах и задачах. Нажатие кнопки Завершить приведет к остановке выбранной задачи. После двойного щелчка на выбранной задаче отобразится более подробная информация. С помощью кнопок PLUS инфо (для платной PLUS-версии) или Информация можно узнать все о неизвестном процессе. В последнем случае ссылка приведет на сайт проекта , где дана информация только по 350 наиболее известным утилитам.
Вкладка Службы похожа на описанную выше. Здесь осуществляется контроль над запущенными сервисами, то есть можно отключить или временно остановить запущенные сервисы и получить информацию о них. Чтобы не искать подозрительные программы в большом списке, можно установить флажок Отобрать ‘не-Майкрософт’, убрав сервисы, принадлежащие операционной системе.
Вкладка Задания содержит информацию о программах, использующихся в Планировщике задач Windows.
Надстройки браузера – полезная функция, позволяющая бороться со шпионскими и другими вредными программами, которые используют для запуска объекты помощника браузера. Здесь можно узнать об имеющихся в системе объектах (название, производитель, время появления), а при появлении нового объекта выдается запрос на его установку. Есть возможность удалить подозрительные объекты помощника браузера.
Внимание!
Объекты помощника браузера запускаются каждый раз вместе с Internet Explorer (который является неотделимой частью системы) даже в случае просто открытия папки на локальном компьютере, поэтому с их помощью можно следить за пользователем, что применяется в программах-шпионах.
Появление новых Cookies, отклонение, управление и просмотр информации, записанной в Cookies, – все это отображается на вкладке Фильтры куки (рис. 3.8).
Рис. 3.8. Вкладка Фильтры куки
Вы можете составить правила фильтрации для доверенных Cookies и таких, которые всегда должны удаляться. Для этого выберите текст (например, адрес сайта, с которого получены Cookies), введите эту информацию в соответствующее поле и нажмите кнопку Добавить.
Более подробную информацию можно получить, нажав кнопку Показать куки. Подозрительные или ненужные Cookies удаляются нажатием кнопки Удалить Невыбранные (будут удалены неотмеченные) или Удалить Выбранное (удалятся выбранные Cookies).
Для удобства расширения файлов в Windows соотносятся с определенными приложениями. Пользователю достаточно дважды щелкнуть на значке файла – запустится ассоциированная с этим расширением программа. Вкладка Ассоциации дает возможность просматривать, контролировать и восстанавливать измененную ассоциацию приложений с расширениями файлов. Если программа или пользователь попробует изменить соответствие, то WinPatrol обнаружит это и выдаст запрос на подтверждение действия.
Рассмотрим еще одну вкладку – Hidden Files. После установки WinPatrol проверяет файлы, имеющие атрибут скрытый и находящиеся в системной области, и отображает их список на данной вкладке, указывая имя файла, путь, время обнаружения, время последнего изменения и его тип. При обнаружении новых файлов, имеющих такой же атрибут, либо изменений, произошедших с контролируемыми файлами, будет выдано предупреждение. Выбрав файл и нажав кнопку Unhide, можно снять этот атрибут.
Изменение любого из вышеописанных параметров заставит Scotty реагировать, а пользователь будет предупрежден. Таким способом можно блокировать большую часть вредных программ, так как каждая, чтобы иметь возможность запускаться, попытается изменить один из параметров, контролируемых WinPatrol. Обратите внимание на значок Монитор, расположенный в правом верхнем углу на каждой вкладке. Щелкнув на нем, с помощью ползунка можно изменить время, через которое будет контролироваться выбранный параметр. Выбор значения 0 означает отключение контроля выбранного элемента.
В новой версии появилась возможность запуска программы с задержкой. Для этого следует перейти на вкладку Delayed Start, где, нажав кнопку Добавить, указать на исполняемый файл, а затем нажатием кнопки Delay Options установить время задержки и другие условия (например, запуск в свернутом виде).
Следующая вкладка – Настройки. В области WinPatrol отображаются установки самой программы: автоматическая загрузка вместе с Windows, подтверждение при закрытии, проигрывание звуков, просмотр истории действий с возможностью отката, экспорт установок и пр. Параметры, расположенные в верхней части вкладки, относятся к безопасности. Так, щелчок на кнопке Определять изменения домашней и поисковой страниц браузера позволит отслеживать все попытки их скрытой замены. Многие пользователи входят в Интернет щелчком на значке Internet Explorer, и по умолчанию открывается какая-либо страница. Подставив сюда определенные данные, можно накручивать счетчик на соответствующем сайте. Подмена параметров домашней страницы является одним из излюбленных приемов злоумышленников.
Параметр Предупреждать меня, если будут сделаны изменения в файле сайтов позволяет контролировать либо полностью блокировать изменение файла hosts (рис. 3.9).
Рис. 3.9. WinPatrol обнаружил попытку изменения файла hosts
Компьютеры, подключенные к Интернету, имеют IP-адреса, но пользователю проще запомнить название узла вида mail.ru, чем набор из 12 цифр. Чтобы это было возможным, существует доменная служба имен (DNS – Domain Name Service). Когда пользователь вводит имя узла, компьютер обращается к одному из таких сервисов и получает по имени его IP-адрес. На каждом компьютере есть также специальный файл hosts, который расположен в каталоге C:\WINDOWS\system32\drivers\etc. Сюда пользователь может вносить необходимые узлы и соответствующие им IP-адреса. Это ускорит загрузку страниц и уменьшит зависимость от DNS-серверов. DNS-трафик небольшой, но если, например, для выхода в Интернет вы используете мобильный телефон с GPRS, то он может быть ощутимым. Злоумышленники также неравнодушны к файлу hosts, так как, введя неправильный адрес, можно перенаправлять пользователя на другой узел для накрутки счетчика, кражи личной информации или блокирования обновления антивирусных баз. Если появится сообщение о попытке изменения файла hosts (если вы сами его не изменяли), то в большинстве случаев следует нажать кнопку Удалить изменения. С помощью кнопок Показать новый файл и Показать старый файл можно сравнить состояния файла до и после внесения изменений. Чтобы принять изменения, нажмите одноименную кнопку. Снять контроль файла hosts можно, установив флажок Отключить проверку этого файла.
3.4. Всесторонний контроль RegRun
Еще одно средство защиты компьютера от неизвестных вирусов, троянцев, шпионских и рекламных программ – RegRun Security Suite, домашняя страница проекта – /. Приложение совместимо со всеми версиями Windows. В настоящее время доступны четыре варианта RegRun:
• Standard – для обычных пользователей, легко управляется и обеспечивает обнаружение и удаление опасных элементов;
• Pro – имеет дополнительные возможности по работе с системным реестром, позволяет быстро оптимизировать системные параметры и обеспечивает надежную защиту;
• Gold – предназначен для обеспечения максимальной защиты, имеет средства восстановления, анализа сценариев, средства для поиска троянцев, оптимизации реестра, анализатор автозагрузки;
• Platinum – кроме возможностей версии Gold включает средства анализа загрузки Windows и поиска руткитов.
Отдельно по ссылке доступен русификатор интерфейса программы. На сайте / имеется неофициальный перевод файла помощи, упрощающий знакомство с программой. Ознакомимся с самым простым вариантом – Standart. Продвинутые версии обеспечивают лучшую защиту, однако разобраться с некоторыми вопросами, задаваемыми программой, сможет не каждый пользователь.
Установка любого варианта RegRun стандартна. По окончании инсталляции на экране появится окно приветствия. Прежде чем запускать программу, лучше установить русификатор, запустив исполняемый файл и указав каталог, в котором установлен RegRun. Если при установке использовался путь, предлагаемый программой по умолчанию, то следует все время нажимать Next.
Для запуска RegRun выполните команду Пуск → Все программы → RegRun Security Suite, после чего выберите пункт RegRun Control Center. Появится окно приветствия. Выбрав в нем пункт Проверить настройки, можно просмотреть настройки, установленные по умолчанию. Нажатие кнопки Быстрый обзор покажет небольшую презентацию, поясняющую принцип работы RegRun. Щелчок на кнопке Запуск RegRun сначала позволит настроить необходимые параметры, а затем в окне Завершение установки RegRun, перемещаясь по вкладкам, вы сможете включить защиту системных файлов, обновить базу приложений и проверить систему на наличие вирусов. В версии Pro и старше здесь присутствует еще несколько пунктов, позволяющих создать резервную копию, восстановить реестр, включить мониторинг изменения реестра и др. Если в процессе проверки будут найдены подозрительные файлы, пользователь получает предупреждающее сообщение (рис. 3.10).
Рис. 3.10. RegRun нашел подозрительный файл
Используя кнопки внизу окна, можно пометить файл как безопасный или уничтожить его. Если знаний не хватает, то, нажав Не уверен. Мне нужна помощь, вы получите два графика – Опасный и Хороший – в процентном отношении и с объяснением.
Другим вариантом получения информации являются ссылки Поиск в Google и База описаний программ. Последняя поставляется вместе с RegRun, содержит описание нескольких тысяч программ в разных категориях (опасные, неопасные и т. д.); ее требуется периодически обновлять.
После запуска RegRun активизируется защита, определяемая уровнем безопасности – от низкого до самого высокого.
После нажатия кнопки Закрыть на экране появляется окно Центра управления RegRun, в котором настраивают параметры работы основных модулей (рис. 3.11).
Рис. 3.11. Центр управления RegRun
Модули RegRun для работы с автозагрузкой
В состав RegRun Standart включено 12 модулей, каждый из которых контролирует и защищает определенную часть системы. В других версиях их больше, например Platinum содержит 18 модулей. Запустить любую задачу проверки можно как из Центра управления, так и выполнив команду Пуск → Все программы → RegRun Security Suite. Вкратце ознакомимся с модулями программы.
За контроль над автозагрузкой отвечает Монитор RegRun (WatchDog), который может быть настроен на проверку конфигурации автозагрузки при старте и выключении Windows либо через заданные промежутки времени. Значок именно этого модуля появляется в области уведомлений. Если при проверке обнаружены изменения, пользователь будет извещен и дополнительно запустится утилита Менеджер автозагрузки (Start Control), позволяющая получить детальную информацию об автоматически запускаемых программах (рис. 3.12).
Рис. 3.12. Менеджер автозагрузки RegRun
Работать с ним просто. Основное окно состоит из трех частей. Самая большая включает 16 вкладок, на которых могут быть размещены параметры, позволяющие автоматически запускать программы. Здесь все происходит автоматически.
Для просмотра и редактирования выберите нужную вкладку – внизу будут выведены все программы или сервисы, запускаемые с помощью этого параметра. Рядом с каждым из них расположен значок. Если он зеленого цвета – программа запущена, желтого – остановлена, красного – выключена.
При необходимости вы можете изменить статус запуска любой программы, выбрав из раскрывающегося списка значок нужного цвета. Слева от области с вкладками размещается панель, позволяющая производить действия со всеми или выбранными объектами автозапуска. Кнопка Сведения отображает информацию об объекте.
Здесь вы найдете следующие данные: имя файла и полный путь к нему, статус и описание. Статус программы также можно изменить: RegRun различает четыре его градации: Необходимая, На ваш выбор, Бесполезная и Опасная. Если описания нет, нажатием одноименной кнопки можно обратиться к базе описания программ или послать отчет фирме-разработчику.
Ссылка Хороший или нет? практически аналогична той, с которой вы встречались при первой настройке, но дополнительно здесь можно указать (рис. 3.13):
• Безопасный – этот процесс является хорошим, трогать его не нужно;
• Уничтожить! – процесс вредный, его следует остановить;
• Не уверен. Нужна помощь – сбор дополнительной информации о программе.
Рис. 3.13. Получение детального отчета о программе
Чтобы получить самую полную информацию, нажмите кнопку Детальный (см. рис. 3.13).
Щелчок на ссылке Отчет о безопасности позволит сгенерировать файл, в котором будет собрана информация обо всех важных составляющих системы. Этот файл можно отправить специалистам компании либо оставить для последующего анализа изменений, произошедших в системе. Ссылка Проверка на вирусы запустит встроенную систему поиска вирусов и шпионских программ. Эта система проанализирует важные системные файлы на наличие потенциально опасных дыр и программ, которые их используют. Для обнаружения руткитов следует выбрать вариант создания отчета при перезагрузке.
Будет выдан отчет о наличии запрещенных и подозрительных файлов. Щелчок на Лечить позволит просмотреть более подробную информацию. Не все, что найдет программа проверки, является опасным, так как она только анализирует действия других процессов, а, например, антивирусы, брандмауэры и некоторые другие программы также могут перехватывать системные вызовы или скрываться, то есть вести себя подозрительно с точки зрения RegRun. Например, брандмауэр Outpost программа внесла в список подозрительных (рис. 3.14).
Рис. 3.14. Брандмауэр Outpost внесен в список подозрительных программ
С выбранными элементами можно произвести следующие операции:
• Добавить в Исключения – программа или сервис признается полезным, и RegRun больше не будет реагировать на нее;
• База описаний программ – узнать больше о программе;
• Диспетчер служб/Показать в Regedit – вызовет соответствующие системные программы, с помощью которых можно изменить параметры вручную;
• Удалить помеченные/Запуск по умолчанию – остановка или запуск найденной службы;
• Контролировать BHO – вызов окна редактирования Компонентов ядра Windows, в котором можно получить информацию о BHO-, ActiveX-, COM-объектах и автоматически загружаемых DLL-библиотеках.
Полезным модулем является Оптимизатор автозагрузки (рис. 3.15). Вызвать его можно, нажав в Менеджере автозагрузки кнопку
либо через Центр управления, щелкнув на ссылке Запуск и выбрав справа категорию Оптимизировать загрузку.
Рис. 3.15. Оптимизатор автозагрузки
Задача этого модуля проста: на основании записей в базе приложений и установок пользователя определить программы, которые можно убрать из автозагрузки. В первую очередь сюда попадают приложения с меткой Бесполезная. Если они не нужны, их стоит убрать, тогда загрузка системы будет быстрее, а RegRun будет проверять меньше объектов, что также скажется на производительности. Если при отключении какой-то программы вы ошиблись, ее можно включить, снова перейдя в Оптимизатор автозагрузки либо воспользовавшись профилями автозагрузки, которые RegRun автоматически создает при каждом изменении этого параметра. Чтобы запустить профили восстановления, следует щелкнуть на ссылке Запуск и выбрать категорию Профили автозагрузки.
Режим Чистый запуск позволяет загрузить систему с минимальным количеством автоматически загружаемых элементов. Это может быть полезно, когда одна из программ, помещенных в автозагрузку, работает некорректно и мешает нормальному функционированию системы, а также когда есть подозрение о наличии в системе вируса, особенно если его невозможно удалить.
Защита файлов
Одной из самых полезных функций программы является Защита файлов, защищающая компьютер от вирусов, троянцев и работающих со сбоями программ. Функционирует она так. Первоначально создается список файлов, состояние которых необходимо контролировать. Для последующего восстановления они копируются в хранилище, которое находится в папке C:\Мои документы\RegRun2\Files. Правда, само хранилище программа не защищает и на подмену файлов не реагирует. Для редактирования списка защищаемых файлов или их проверки вручную вызовите контекстное меню значка RegRun в области уведомлений и выполните команду Безопасность → Защита файлов (рис. 3.16).
Рис. 3.16. Окно редактирования защищаемых файлов
Для проверки файла выберите его с помощью кнопки мыши и щелкните на значке
При обнаружении модификации защищаемых файлов будет выдано предупреждение с указанием размера и даты создания обоих файлов. Пользователю остается принять решение – оставлять новую модифицированную версию либо восстановить файл из резервной копии? Используя кнопки, модифицированный файл можно копировать, переименовать, удалить, открыть или просканировать с помощью антивирусной программы. Щелкнув на значке с изображением плюса, можно указать файл, целостность которого будет контролироваться RegRun.
Для поиска неизвестных антивирусным приложениям вирусов RegRun открывает и контролирует множество программ-приманок: если обнаруживается изменение любого из этих файлов, RegRun сообщает о присутствии вируса. Для Windows такой приманкой является файл winbait.exe: ее автозапуск заносится в реестр и сравнивается с оригинальным файлом, имеющим имя winbait.org. Для включения такого контроля следует зайти в Центр управления, щелкнуть на ссылке Настройка, в появившемся окне перейти на вкладку Ловушка вирусов и установить флажок В Windows-режиме (периодически во время тестирования).
RegRun совместим со многими известными антивирусами. Для настройки совместной работы необходимо нажать кнопку Антивирусный координатор на этой же вкладке и запустить поиск установленных антивирусов, нажав кнопку Автопоиск. Если антивирус не найден автоматически, его можно указать вручную, нажав кнопку Добавить.
RegRun также определяет файлы, которые будут заменены во время следующей загрузки Windows. Это функция Aнтизамена. Система защищает основные файлы и библиотеки и в рабочем состоянии не дает их заменить, поэтому чтобы установленные драйверы вступили в силу, систему требуется перезагрузить. Однако эту возможность могут использовать вирусы, чтобы внедриться в системный файл. В случае появления таких файлов пользователь предупреждается с возможностью отмены операции.
Полезные утилиты RegRun
Щелкнув в окне Центра управления на ссылке Утилиты, вы найдете еще несколько полезных инструментов. Так, Менеджер процессов позволяет не только просмотреть и при необходимости уничтожить подозрительный процесс, но и получить подробную информацию о загруженных DLL-библиотеках и сетевой активности приложений (рис. 3.17).
Рис. 3.17. Менеджер процессов
Если понадобится просмотреть и отредактировать файлы autoexec.nt, confi g.nt и boot.ini, поможет удобный Редактор системных файлов. Все открытые на компьютере файлы можно просмотреть, выбрав утилиту Открытые файлы.
Полезна также возможность периодического или однократного запуска любой программы. Для этого следует выбрать утилиту Запуск с задержкой.
Наиболее полный контроль над реестром Windows осуществляется в версиях Gold и Platinum. В этих версиях имеется возможность оптимизации реестра, создания резервной копии и восстановления и получения подробной справки по реестру. В версию Standart включен Монитор реестра, который можно запустить, щелкнув в окне Центра управления на ссылке Реестр и выбрав справа категорию Монитор реестра. Его задача – отслеживать попытки изменения важных параметров реестра (рис. 3.18). При такой попытке RegRun выдаст предупреждающее сообщение.
Рис. 3.18. Монитор реестра
В появившемся окне знаком плюса будут отмечены новые параметры реестра, знаком минуса – удаленные. Чтобы подтвердить изменение, необходимо щелкнуть на ОК. Нажатие кнопки Вернуть назад позволит откатить значение к предыдущему, а кнопка Лечить активизирует антивирусную проверку. Если вы не решили, как поступить, щелкните на Позже – монитор повторит запрос через некоторое время.
RegRun имеет собственный Менеджер расширений файлов. В отличие от WinPatrol, который автоматически контролирует попытку изменения соответствия, задача Менеджера расширений файлов – дать пользователю более удобный инструмент для самостоятельной смены и контроля ассоциаций, чем стандартный Проводник. Здесь можно получить полную информацию о каждом приложении, включая имя и путь к исполняемому файлу, его описание и команду запуска. Реализована также возможность поиска.
Для удобства пользователей предусмотрено несколько предустановленных уровней безопасности. По умолчанию выбран средний, подходящий для большинства случаев. Для изменения уровня проверки следует щелкнуть на ссылке Настройка, перейти на вкладку Безопасность и с помощью ползунка установить требуемое значение.
По умолчанию RegRun запускает все выбранные пользователем проверки через каждые 10 минут. Чтобы изменить это время, необходимо щелкнуть на ссылке Настройка, перейти на вкладку Автозапуск и указать в соответствующих полях нужные значения. Если снять флажок Мониторинг, автоматическая проверка будет осуществляться только во время загрузки операционной системы. Для запуска проверки во время отключения компьютера перейдите на вкладку При выключении и установите флажки Проверка при выключении и Проверка замены системных файлов.
3.5. Контроль целостности с Xintegrity
Xintegrity – удобная утилита, которая обнаруживает любое, даже самое незначительное изменение файла практически неограниченного размера. Принцип ее работы прост: первоначально создается список файлов и каталогов, целостность которых необходимо контролировать. Затем в зависимости от установок утилита записывает слепок, позволяющий оценить идентичность данных (так называемую контрольную сумму), либо сохраняет сам файл, предварительно зашифровав его, чтобы избежать подделки.
Удобный и понятный интерфейс позволит занести файл или каталог в базу данных и удалить его из нее при отсутствии необходимости в постоянном контроле. В качестве контрольной суммы используется 128-разрядная хеш-функция MD5 и AES (Advanced Encryption Standard – улучшенный стандарт кодирования) с 256-разрядной длиной ключа, реализованные в режиме CBC (Cipher block chaining – кодирование с поблочной передачей), в котором при шифровании следующего блока данных используются данные предыдущего, что существенно повышает стойкость. Подделать подписанную таким образом информацию практически невозможно. Xintegrity может использоваться как приложение, позволяющее проверить целостность файлов по требованию пользователя либо во время плановой проверки компьютера. Она может работать в фоновом режиме, уведомляя пользователя каждый раз, когда обнаружит изменение. Когда Xintegrity обнаруживает измененный файл, пользователю будет выдана подробная информация, как и когда файл был изменен, и при определенных параметрах создания базы будет предложено заменить его резервной копией. Сама утилита носит сугубо информационный характер – решение всегда принимает пользователь. Xintegrity работает под управлением Windows 2000, XP и 2003. Сайт проекта – /.
Программа распространяется как условно бесплатная. Срок ее действия ограничен количеством не дней, а проверок: в незарегистрированной версии их 30. Стоимость программы – $24,95. Много это или мало – решать вам, но, проверяя систему раз в день, можно бесплатно использовать ее в течение месяца, а так как такие проверки можно производить реже (например, раз в неделю), то можно растянуть использование программы на более продолжительное время.
Установка программы традиционна для Windows и заключается в запуске исполняемого файла. Хотелось бы обратить внимание на следующее: такие программы еще не получили широкого распространения, и большинство взломщиков вряд ли будут искать Xintegrity. Чтобы скрыть ее присутствие, можно установить ее в каталог с именем, отличным от предлагаемого, причем как можно более безобидным, например Player.
Установив в последнем окне флажок Launch XintegrityProfessional.exe, запустите приложение. Открывшееся окно будет появляться постоянно и напоминать об оставшемся количестве проверок и необходимости регистрации продукта. Для начала работы нажмите Continue – отобразится окно, в котором нужно ввести пароль для доступа к утилите, защищающий базы от модификации, и нажать Enter.
После этого появляется главное окно программы – пока пустое. Необходимо создать базу и наполнить ее файлами. Для этого выполните команду меню Database → Create a Database, в появившемся диалоговом окне Create а new file database введите название будущей базы данных и c помощью кнопки Browse укажите, где она будет располагаться (рис. 3.19). Разработчики учли возможность скрытого применения утилиты, не ограничивая пользователя в этих параметрах: можно указать любое название, расширение и месторасположение.
Рис. 3.19. Создание файла новой базы данных
Назвав файл буднично, например kursovik.rtf или song.mp3, и сохранив в папке, где хранятся подобные файлы, можно скрыть базу. При этом Windows покажет обычный значок Microsoft Word, и этот файл не будет отличаться от остальных, но при попытке открыть его двойным щелчком отобразится некорректно. В области Database message digest algorithm выберите алгоритм шифрования базы данных. Чем ниже значение, тем большая защита обеспечивается, но и потребуется большее время для шифровки и расшифровки. После нажатия кнопки ОК создается пустая база данных. При открытии любой базы Xintegrity автоматически проверяет себя и все зарегистрированные базы на предмет целостности.
База создана, теперь ее необходимо наполнить. Для этого воспользуйтесь меню Add, в котором доступны несколько вариантов, позволяющих гибко отбирать файлы для добавления. Например, выбрав пункт Specific file, можно добавить отдельный файл, а выбрав пункт According to Location, указать каталог, все файлы которого будут занесены в базу. Отобрать файлы определенного размера можно, выбрав пункт Аccording to Size, по времени модификации или создания файла – Аccording to Time, по типу файла – According to Type, по атрибутам – According to Attributes, содержащие определенный текст – Аccording to Contents, по функциональным возможностям – Аccording to Abilities/Functionality. Например, с помощью последнего варианта можно занести сразу все системные файлы или файлы, работающие в Сети, а также Cookie. Пункт All Files включает в себя все вышеперечисленные возможности. Файл или каталог можно также просто перетащить в окно программы или вставить из буфера обмена. При этом файлы, расположенные на дисках с файловой системой FAT32, NTFS, и сетевые папки могут быть перечислены в одной базе данных.
Можно использовать практически любые условия, поэтому можно создать несколько баз, в одну собрав исполняемые файлы – в таком случае она будет работать почти как антивирус (не забудьте об Explorer.exe, его очень любят вирусы), в другую – системные, в третью – сетевые ресурсы, к которым вы имеете доступ, в четвертую – файлы, способные работать в Сети (так вы застрахуете систему от троянцев). Контролировать фильмы, музыку и графику не имеет особого смысла, хотя кому-то это может быть важно. Меню Remove, с помощью которого файлы удаляются из базы, содержит те же пункты. Прежде чем создавать базу, зайдите в меню Сonfiguration: в нем присутствует один пункт Adjust Xintegrity Professional Configuration, щелкнув на котором, можно настроить параметры резервирования (рис. 3.20).
Рис. 3.20. Настройка Xintegrity
Например, флажок Backup the files listed in each database (for possible subsequent restoration) позволяет создавать резервные копии всех контролируемых Xintegrity файлов. При обнаружении изменения любой файл можно вернуть на место измененного. Это позволяет использовать Xintegrity как средство восстановления системы вместо стандартного, в Windows XP ограниченного по возможностям. Однако в данном случае для базы потребуется количество свободного места, равное объему всех контролируемых файлов. Установка флажка Encrypt the backup files укажет Xintegrity на необходимость шифрования всех резервируемых файлов, что позволит избежать их подделки. Backup each database кроме основной создаст резервную копию базы.
Перейдя на вкладку Background Checking и установив флажок Enable background checking at system start up, можно указать на необходимость периодической проверки в фоновом режиме. Чтобы результат такой проверки выводился не только в виде сообщений, но и отправлялся по электронной почте, перейдите на вкладку Email и установите флажок Enable email notification. Затем в поле Recipient Email address укажите электронный адрес, на который должны приходить сообщения. Сообщения могут отправляться в двух случаях:
• Send Email after each scheduled database check – после каждой проверки;
• Send Email only when modifications are detected – только в случае обнаружения расхождений.
После указания на файлы база начнет заполняться. Этот процесс может занять некоторое временя, по окончании которого отобразится общий отчет и окно, в котором будут выведены все файлы с указанием их атрибутов, количества и размеров базы (рис. 3.21).
Рис. 3.21. База данных заполнена
Всю информацию можно распечатать, выполнив команду Database → Print. Созданные базы данных можно проверять индивидуально или последовательно, используя один из четырех режимов проверки. Для проверки открытой базы данных выполните команду Checking → Check All Files In The Open Database. Для проверки всех баз – Checking → Checking Schedule, при этом с помощью переключателя можно выбрать один из двух режимов: Standard Mode и Continuous Mode. Сначала из раскрывающегося списка нужно выбрать базы, которые будут проверяться. Затем задать время, через которое должна начаться проверка. Теперь, если выбрать Standard Checking, базы будут проверены однократно через установленное время, после чего будет выведен отчет. При выборе Continuous Checking проверка будет выполняться до остановки пользователем или выключения компьютера. Чтобы выбранный вариант запустился, выполните команду Checking → Start Scheduled Checkin. При этом все проверяемые базы должны быть закрыты. Как вариант, нажмите зеленую кнопку
после чего начнется отсчет времени, а при разрешенном звуковом сигнале раздастся специфический звук. Для остановки всех проверок выполните команду Checking → Stop Scheduled Checking или нажмите красную кнопку в основном окне.
Фоновый режим проверки устанавливается так же, как и Continuous Checking, только для запуска используется команда Checking → Start Scheduled Checking [ Background Mode ], после чего Xintegrity скроется в область уведомлений и будет периодически выводить информацию о ходе проверки. При обнаружении различия в подконтрольных файлах программа остановит работу и выдаст соответствующее сообщение. После нажатия кнопки ОК отобразится подробная информация. Xintegrity среагирует на изменение атрибутов, размера, времени создания или модификации файла, контрольную сумму и другие параметры.
Для получения более подробной информации нажмите кнопку Furher Analisys. Для изменившегося файла программа предлагает четыре варианта действия:
• Ignore and continue to check the rest of the database – игнорируется изменение, и проверка продолжается, но при следующей проверке сообщение появится вновь;
• Calculate the new digest value and add to the database. Make this file the new backup – повторно пересчитываются все контролируемые параметры, измененные данные заносятся в базу данных, а новый файл замещает в резерве старый;
• Calculate the new digest value and add to the database. Leave the backup unchanged – также повторно пересчитываются все параметры, заносятся в базу данных, но в резерве остается копия старого файла;
• Restore file from backup – файл восстанавливается из резерва. При нажатии ОК появляется меню, предлагающее удалить или сохранить изменившийся файл. В последнем случае файл переместится в подкаталог Changed Files, который находится там, куда вы установили Xintegrity, и к его имени будет добавлен элемент CHANGED.
Программа продуманна и удобна. Возможно, именно она предотвратит угрозу сохранности данных.
Глава 4 Брандмауэр
Для чего нужен брандмауэр
Персональный брандмауэр Outpost Firewall
Бесплатный брандмауэр COMODO Firewall Pro
Современный персональный компьютер немыслим без Интернета – этого неисчерпаемого источника информации и незаменимого средства коммуникации. В то же время ARPAnet – прародитель Интернета – разрабатывался как закрытая система для научных и военных целей, поэтому некоторые вопросы безопасности остались без внимания. Время высветило многие проблемы, и для их устранения были разработаны разнообразные решения, самым известным из которых является применение брандмауэров (firewall).
4.1. Для чего нужен брандмауэр
Антивирус защищает системные и пользовательские файлы от вредоносного программного обеспечения. Задача брандмауэров – фильтрация входящего и исходящего трафика и блокирование несанкционированного доступа к компьютеру.
Для работы в Сети операционная система использует сервисы, которые открывают порты и ждут подключения к ним. Зная номер порта, пользователь может подсоединиться к нему с удаленного компьютера и получить доступ к некоторым ресурсам. Проблема в том, что в реализации некоторых сервисов присутствуют ошибки, которые могут быть использованы для сетевой атаки – как вирусной, так и ставящей целью нарушение работы уязвимого сервиса или системы в целом. Брандмауэр, используя набор правил, разрешает или запрещает доступ к компьютеру из Сети.
Примечание
Первоначально брандмауэром называли перегородку в паровозах, находящуюся между машинным отделением и вагонами и защищающую последние от возможного возгорания. В современном значении это слово начало употребляться приблизительно в начале 1990-х годов, когда для английского слова firewall не смогли найти однозначного перевода. Поскольку немецкое слово Brandmauer означало то же самое и было уже известно, его и стали использовать, хотя только на постсоветском пространстве.
Первыми появились фильтры пакетов, которые действовали на основании информации, помещенной в заголовке: IP-адрес, номера портов источника и получателя, тип пакета и длина. Выглядело это следующим образом. Компьютеру из внутренней сети с определенным IP-адресом разрешается соединяться с любыми внешними компьютерами, используя только указанный порт. Например, протокол SMTP, который применяется для отправки электронной почты, использует 25-порт, протокол РОР3, с помощью которого почта получается, – 110-порт, веб-сервисы обычно настроены на 80-порт. При попытке получить доступ к другим сервисам брандмауэр блокировал соединение.
Постепенно стало понятно, что такой статической схемы недостаточно. Это привело к появлению фильтров, отслеживающих состояние соединений (stateful). Постепенно функциональность брандмауэров возрастала, появились фильтры уровня приложений и фильтры соединений, умеющие контролировать контекст. Не будем углубляться в историю, тем более что сегодня встретить их в чистом виде практически невозможно.
Чаще всего пользователю трудно решить, что кому запретить или разрешить. В операционной системе Windows принято следующее взаимодействие пользователя с используемым брандмауэром. Например, в строке веб-браузера набран адрес или имя сервера. Брандмауэр, проанализировав запрос, временно блокирует его и запрашивает у пользователя подтверждение, предоставляя ему всю информацию: приложение или сервис, IP-адрес или имя удаленного узла и порт назначения. Если выход в Интернет с использованием данной утилиты действительно планировался, пользователь подтверждает это, и брандмауэр разрешает соединение. Чтобы не беспокоить пользователя в дальнейшем, ответ запоминается. Хотя, чтобы уменьшить вероятность ошибки, через некоторое время процесс повторяется.
Таким образом, если случайно было разрешено соединение для спрятавшегося троянца, существует вероятность, что в следующий раз его не пропустят. Однако создатели вирусов также используют эту особенность взаимодействия. Теперь, чтобы скрыть свою программу, им достаточно загружать ее как расширение Internet Explorer, иногда вызывается и сам браузер, адресная строка которого содержит не только имя удаленного узла, но и информацию, которую удалось украсть. Пользователь не всегда вникает в суть запроса, поэтому в большинстве случаев обман удается.
Брандмауэр обязательно должен использоваться совместно с антивирусной программой. Это не взаимоисключающие, а дополняющие друг друга приложения, хотя многие сегодняшние брандмауэры выросли в настоящие системы защиты, умеющие отслеживать вышеописанную ситуацию.
Необходимо контролировать как входящий, так и исходящий трафик. В первом случае вы будете защищены от попытки несанкционированного доступа извне, а контроль исходящего трафика позволит блокировать трояны и другие зловредные программы, пытающиеся получить доступ в Интернет, а также ненужный трафик в виде баннеров. Следует отметить, что, хотя все брандмауэры похожи, каждая конкретная реализация может содержать ошибки.
Появление встроенного Брандмауэра в Windows XP многие приветствовали, однако вскоре выяснилось, что он контролирует только входящий трафик, а по удобству настроек уступает большинству решений. Усовершенствованный Брандмауэр в Windows Vista обладает несколько большими возможностями – поддерживается фильтрация входящего и исходящего трафика. С его помощью можно запретить приложениям обращаться к другим компьютерам или отвечать на их запросы, поэтому мультимедийные программы могут воспроизводить мультимедийные файлы на локальном компьютере, но не смогут подключаться к веб-узлам в Интернете. Брандмауэр в Windows Vista следит за ресурсами операционной системы, и, если они начинают вести себя иначе, что обычно указывает на наличие проблем, блокирует соединение. Если другая программа попытается обратиться в Интернет, чтобы установить дополнительный модуль, пользователь увидит предупреждение, посылаемое Брандмауэром.
Однако на практике у пользователя мало средств для тонкой настройки, а вредоносное приложение, попав на компьютер, в первую очередь попытается создать разрешающее правило, ориентируясь именно на встроенный Брандмауэр Windows, или просто отключить его, поэтому рассмотрим не его, а несколько типичных решений.
4.2. Персональный брандмауэр Outpost Firewall
Начало Outpost Firewall было положено утилитой обнаружения хакерских атак Jammer, которая быстро стала популярной. Причина ее популярности оказалась банальной. Одна зарубежная правительственная компания использовала троян для слежения за своими пользователями. Некий служащий установил Jammer и не только обнаружил шпионскую программу, но и отследил направление ее активности. Этот случай попал в прессу, разгорелся скандал, а Jammer сразу приобрел популярность. Брандмауэр Outpost Firewall Pro, первая версия которого появилась в 2001 году, практически сразу получил признание и сегодня пользуется популярностью благодаря широким функциональным возможностям и низкой стоимости.
Сегодня компания предлагает несколько вариантов Outpost Firewall Pro:
• Outpost Firewall Pro 2008 – персональный брандмауэр, обеспечивающий всестороннюю защиту в Интернете и предназначенный для персонального использования. Эта версия совместима с Windows Vista, на сайте проекта доступна ранняя версия 4.0, поддерживающая Windows 2000, XP и Server 2003;
• Outpost Security Suite Pro – также предназначен для персонального использования, обеспечивает стопроцентную защиту компьютера, включает все необходимые средства безопасности: брандмауэр, антивирус, антишпион, антиспам-фильтр и проактивную защиту;
• Outpost Network Security – решение для защиты организаций малого и среднего бизнеса от внешних и внутренних угроз;
• Outpost Firewall Free – персональный брандмауэр для тех, кто работает в Интернете нерегулярно.
Рассмотрим Outpost Firewall Pro 2008.
Установка Outpost Firewall Pro
Установка Outpost Firewall Pro традиционна. На первом шаге можно выбрать язык установки – русский, на котором далее будут выводиться все сообщения. Примите условия лицензионного соглашения. В процессе установки можно, установив одноименный флажок, загрузить последние обновления Outpost Firewall. После копирования файлов появится Мастер настройки.
В первом окне Мастера настройки (рис. 4.1) предстоит выбрать уровень безопасности, который будет обеспечивать программа:
• Повышенный – для продвинутых пользователей; брандмауэр будет обеспечивать максимально возможную защиту;
• Обычный – Outpost Firewall Pro будет защищать систему от наиболее опасных методов проникновения, не беспокоя пользователя постоянными запросами; этот уровень рекомендуется для большинства случаев.
Рис. 4.1. Мастер настройки Outpost Firewall Pro
После нажатия кнопки Далее настраивается компонент Антишпион. Нужно указать режим работы постоянной защиты и параметры производительности. Возможен выбор из:
• Проверять файлы при запуске – предотвращает запуск известных вредоносных программ, но не блокирует другие попытки доступа, такие как копирование или сохранение;
• Проверять файлы при любой попытке доступа – предотвращаются все попытки доступа к файлам, зараженным известными вредоносными программами.
Второй вариант обеспечивает максимальную защиту, но может отрицательно повлиять на производительность системы. Если замечено снижение производительности, на маломощных компьютерах лучше затем переключиться на первый вариант. Для увеличения производительности можно установить флажок Включить кэширование статуса проверки. В этом случае при первом обращении будет создан скрытый кэш-файл, при последующем он будет сверяться с текущим состоянием, и если не будет найдено отличий, проверка остановится.
Далее появится окно Мастера конфигурации, который поможет создать правила работы Outpost Firewall Pro (рис. 4.2).
Рис. 4.2. Диалоговое окно Мастера конфигурации
Здесь возможны следующие варианты:
• Автоматически создавать и обновлять правила – самый удобный и рекомендуемый вариант: по мере выхода приложений в Сеть пользователь будет создавать для них правила и обновлять их по мере необходимости;
• Автоматически создавать правила – то же, но без автоматического обновления правил; в последнем случае запрашивается пользователь;
• Не создавать правила автоматически – правила автоматически не создаются.
Установив флажок Автоматически обучать Outpost Firewall Pro в течение недели, вы разрешите автоматическое создание разрешающих правил для известных приложений, которые запрашивают соединения.
Дополнительно компания Agnitum предлагает принять участие в программе ImproveNet. Если установить соответствующий флажок, будут автоматически собираться данные о сетевых приложениях, для которых не существует правил,создаваться новые системные правила и статистика использования приложений. Собранная информация раз в неделю будет отправляться компании-разработчику (информация будет передаваться в сжатом виде в фоновом режиме без перерыва в работе системы). На основании собранной информации будут создаваться новые правила, которые затем станут доступными через систему обновлений. Результатом работы программы ImproveNet должно стать уменьшение количества запросов к пользователю: Outpost должен приобрести большую автономность в принятии решений. При необходимости эти настройки можно изменить, выполнив команду Настройки → Общие → ImproveNet.
Далее мастер найдет сконфигурированные сетевые интерфейсы и создаст базу контроля компонентов, после чего предложит перезагрузить систему.
При первом запуске программы на экране появится предложение зарегистрировать программу; если у вас нет лицензии, вы можете в течение 30 дней легально использовать Outpost Firewall, для чего следует нажать кнопку Использовать.
Работа с Outpost Firewall
После установки Outpost Firewall настроен и готов к работе. Об этом свидетельствует значок, появившийся в области уведомлений, внешний вид которого зависит от выбранной политики. По умолчанию устанавливается режим обучения. Согласно ему при каждой попытке доступа к Сети приложения, для которого не установлено правило, пользователю выдается запрос (рис. 4.3), содержащий необходимую информацию, позволяющую в большинстве случаев принять решение: имя программы, удаленную службу, номер порта и IP-адрес.
Рис. 4.3. Приложение пытается получить доступ в Сеть
Дополнительно при включенном модуле Anti-Spyware анализируется запрос, и если все нормально, рядом с именем приложения появляется метка Шпионских программ не обнаружено. На основании полученной информации пользователь может принять одно из следующих решений:
• Разрешить любую активность этому приложению – приложение заносится в список доверенных, и все запрошенные им соединения автоматически разрешаются;
• Запретить любую активность этому приложению – приложение получает статус запрещенного, и все соединения автоматически блокируются;
• Создать правило на основе стандартных – большинству приложений необходим доступ в Сеть только по определенным протоколам и портам; в поставке Outpost имеются шаблоны, которые можно использовать при создании правил для таких приложений, – этом случае приложение будет ограничено указанными протоколами;
• Разрешить однократно или Блокировать однократно – если вы сомневаетесь в назначении программы, то можете однократно разрешить или запретить ей доступ в Сеть и проследить за реакцией приложения.
Нажав на ссылку Помощник, вы можете получить более подробную информацию о процессе, помогающую принять правильное решение, в том числе полученную с сайта разработчиков. В меню кнопки ОК можно активизировать Режим автообучения.
Для такого приложения вы также можете создать собственное правило c описанием. Для примера создадим правило для веб-браузера Firefox. В контекстном меню, вызываемом щелчком правой кнопкой мыши на значке в области уведомлений, выберите пункт Настройки, в появившемся окне (рис. 4.4) перейдите на вкладку Брандмауэр → Сетевые правила и нажмите кнопку Добавить.
Рис. 4.4. Окно создания сетевых правил
Программа попросит указать путь к исполняемому файлу. С помощью файлового менеджера перейдите в каталог, куда был установлен Firefox (по умолчанию это C:\Program Files\Mozilla Firefox), где выберите файл firefox.exe. По умолчанию приложение попадает в категорию Заблокированные; чтобы разрешить ему выход в Сеть, в контекстном меню выберите пункт Всегда доверять этому приложению.
В этом случае приложение получит полный доступ. Чтобы настроить его поведение более тонко, в том же меню выберите пункт Использовать правила. Появится окно Редактор правил, где на вкладке Сетевые правила нужно нажать кнопку Новое. В появившемся окне отредактируйте правило, указав событие (направление, адрес и порт) и параметры (оповещать, активизировать динамическую фильтрацию, не регистрировать). Щелчком на подчеркнутой ссылке в поле Расшифровка правила можно изменить значения параметров.
После окончания периода обучения, то есть когда все правила созданы и пользователь больше не получает запросов, необходимо перейти в Фоновый режим работы. В этом случае брандмауэр работает в невидимом для пользователя режиме, не отображая значок в области уведомлений. Благодаря этому, например, родители могут незаметно для ребенка блокировать нежелательный трафик и контролировать работу в Сети. В данном режиме Outpost Firewall потребляет меньшее количество ресурсов.
Для перехода в фоновый режим вызовите окно настроек. На вкладке Общие в раскрывающемся списке Выберите режим загрузки установите Фоновый. Чтобы никто не смог изменить настройки брандмауэра, на этой же вкладке установите переключатель Защита паролем в положение Включить и задайте пароль.
Кроме Режима обучения существуют следующие политики (они доступны в контекстном меню значка в области уведомлений):
• Блокировать все – все соединения блокируются; эту политику можно использовать, например, для временного отключения компьютера от Сети;
• Режим блокировки – блокируются все соединения, кроме разрешенных; после этапа обучения стоит использовать именно эту политику;
• Режим разрешения – разрешаются все соединения, кроме запрещенных;
• Выключить – работа Outpost Firewall, в том числе и детектор атак, приостанавливается, все соединения разрешены.
Интерфейс программы
После установки Outpost Firewall готов к работе, и большую часть времени пользователь будет общаться с ним исключительно в форме ответов на вопросы при попытке выхода какого-либо приложения в Сеть. Для просмотра статистики роботы и сетевой активности приложений, тонкой настройки политики работы брандмауэра и подключаемых модулей необходимо вызвать главное окно программы (рис. 4.5).
Рис. 4.5. Главное окно программы
Визуально главное окно разделено на две части. Вверху находится панель, на которой расположены кнопки, обеспечивающие быстрый доступ к некоторым функциям.
Для вывода информации в удобном для пользователя виде предназначена расположенная слева информационная панель, работа с которой напоминает работу в Проводнике Windows. В левой панели выбирается категория, а в правой выводится подробная информация. Рядом с некоторыми пунктами имеются знак плюса, нажав на который можно раскрыть список. Выбрав пункт Добро пожаловать, можно получить информацию о лицензии, просмотреть новости с сайта разработчика и пр. Пункт Брандмауэр содержит два подпункта.
• Сетевая активность. Выбрав этот пункт, вы получите возможность просмотреть список всех приложений и процессов, имеющих текущие активные соединения, и подробную информацию о них (протокол, IP-адрес и порт, время начала и продолжительность соединения, количество переданных и принятых байт, скорость, состояние).
Если вы увидели соединение, которое не разрешали, или подозреваете, что действует спрятавшийся троян, соединение можно разорвать, щелкнув на соответствующей строке в правой части экрана правой кнопкой мыши и выбрав в появившемся контекстном меню пункт Разорвать соединение. Выбрав в этом же меню пункт Столбцы, можно отредактировать поля вывода информации. Пункт Создать правило позволяет быстро вызвать редактор правил для этого приложения.
• Используемые порты. Здесь отображаются все приложения и процессы, у которых в настоящее время открыты порты, в том числе и ожидающие соединения.
Компонент Локальная безопасность защищает компьютер от неизвестных или замаскированных угроз. Здесь можно изменить уровень безопасности и составить список исключений для процессов, которые не нужно контролировать, включить или отключить внутреннюю защиту Outpost Firewall Pro. В подпункте Активные процессы выводится список всех активных процессов с указанием их сетевой активности.
Компонент Антишпион защищает компьютер от троянов, червей и шпионского программного обеспечения. Нажатием кнопки Запустить проверку системы можно проверить систему на наличие угроз и подозрительных объектов. При этом можно выбрать один из вариантов проверки системы: Быстрая, Полная и Выборочная. Все подозрительные объекты будут перемещены на вкладку Карантин, откуда их можно удалить, просто восстановить или восстановить с добавлением в исключения. Здесь же устанавливается режим постоянной защиты и работа сканера почты.
На вкладке Веб-контроль показывается количество заблокированных объектов (Cookies, активное содержимое веб-страниц, реферреров, рекламных баннеров), а также попыток передачи личных данных.
Примечание
Реферреры (referrers) содержат информацию, позволяющую отследить, с какого ресурса пользователь был перенаправлен на данный адрес. Набор реферреров позволяет узнать, какие ресурсы были посещены.
Все события, которые зафиксировал Outpost Firewall Pro, можно просмотреть, перейдя в Журнал событий. Они разбиты по категориям (внутренние события, брандмауэр, детектор атак, веб-контроль, антишпион), что удобно при анализе.
Настройка Outpost Firewall Pro
Доступ к настройкам Outpost Firewall Pro можно получить, нажав одноименную кнопку. Основные пункты настроек совпадают с названиями в основном окне программы (рис. 4.6).
Рис. 4.6. Окно настроек Outpost Firewall Pro
Рассмотрим наиболее часто используемые настройки и те, которые могут понадобиться на начальном этапе работы.
В меню Общие выбирается язык интерфейса, режим загрузки и разрешение игрового режима, при котором брандмауэр не беспокоит пользователя сообщениями. Установкой флажков активизируется технология SmartScan и внутренняя защита брандмауэра. Перейдя в подменю Конфигурация, можно защитить настройки паролем, сохранить и восстановить конфигурацию. Расписание обновлений указывается в подпункте Обновление. После установки обновления проверяются ежечасно. При необходимости это можно изменить.
В меню Брандмауэр настраиваются режим работы межсетевого экрана в обычном, фоновом и игровом режиме. При установке Outpost Firewall Pro анализирует сетевые настройки, и безопасные с его точки зрения локальные сети заносятся в подпункт Настройки LAN. По умолчанию любой обмен данными с такими сетями разрешен. При необходимости здесь можно изменить список доверенных сетей, отдельных IP-адресов и доменов. Установка флажка Доверенный напротив адреса разрешит все соединения; чтобы разрешить подключения к общим файлам или каталогам по протоколу NetBIOS, установите одноименный флажок. Модуль Детектор атак, настройки которого находятся в соответствующем меню (рис. 4.7), добавляет функции, обычно не свой ственные классическим брандмауэрам: обнаружение и предотвращение атак компьютера из локальной сети и Интернета. Модуль просматривает входящие данные на предмет наличия сигнатур известных атак, а также анализирует попытки сканирования и атаки, направленые на отказ в обслуживании (DoS – Denial of Service), и другие, в том числе неизвестные, сетевые атаки.
Рис. 4.7. Настройки модуля Детектор атак
Совет
Если на компьютере установлена сетевая система обнаружения и отражения атак, модуль Детектор атак следует отключить, сняв соответствующий флажок.
В поле Уровень тревоги настраивается уровень тревоги и действия модуля при обнаружении атаки. С помощью ползунка можно выбрать один из трех уровней тревоги: Низкий, Оптимальный и Максимальный, которые отличаются реакцией на некоторые неопасные виды атак. Последний обеспечивает самый высокий уровень защиты, однако будет выдавать большое количество предупреждений. Нажав кнопку Настройка, можно указать, какие виды атак должен обнаруживать и предотвращать Outpost Firewall. На вкладке Ethernet настраивается защита от некоторых атак, характерных для Ethernet и сетей Wi-Fi. В частности, здесь следует включить ARP-фильтрацию, позволяющую защититься от подмены нападающим IP-адреса. В области Ethernet-атаки настраивается реакция модуля на такие атаки. На вкладке Дополнительно можно отредактировать список атак, которые должен обнаруживать и предотвращать модуль. Каждая атака имеет краткое описание, но отключать что-либо рекомендуется только если вы точно знаете, что делаете. Нажав кнопку Уязвимые порты, можно указать все номера портов, которым требуется уделять особое внимание. Сюда можно занести номера портов, традиционно используемых троянцами и программами дистанционного управления компьютером. Установка флажка Блокировать атакующего на … минут позволяет установить промежуток времени, на который IP-адрес нападающего узла будет заблокирован, то есть никто не сможет подключиться к защищаемому компьютеру с этого адреса. Дополнительный флажок Блокировать подсеть атакующего позволяет подстраховаться на случай, если атакующий захочет сменить IP-адрес (например, при переподключении по модемному соединению можно получить другой IP-адрес). Чтобы получать оповещения при обнаружении атак, установите флажки Проигрывать звуковое оповещение при обнаружении атак и Показывать визуальное оповещение при обнаружении атак. Чтобы доверенные узлы не блокировались детектором атак, их следует указать в поле Исключения – все пакеты, посланные ими, не будут считаться вредоносными.
Настройка модуля Локальная безопасность аналогична описанной выше. С помощью ползунка в зависимости от характера текущей работы выставляется один из четырех уровней безопасности – от Низкий, при котором контролируются только запросы сетевого доступа от измененных исполняемых файлов, до Максимальный, активизация которого включает максимальную защиту системы. Нажав кнопку Настройка, можно указать, какие действия, события и компоненты должен контролировать этот модуль. Пользоваться этой возможностью следует только в случае появления проблем или если вы точно знаете, чего хотите добиться. В большинстве случаев удобнее пользоваться ползунком Уровень безопасности. Приложения, которые могут быть вызваны другими программами, можно занести в список Известные приложения, и настроить правила контроля индивидуально в списке Исключения Контроля Anti-Leak. Для этого необходимо нажать одноименную кнопку и указать путь к исполняемому файлу. Модуль Локальная безопасность не будет контролировать их действия и беспокоить пользователя запросами.
На вкладке Антишпион включаются и отключаются модуль контроля над шпионским программным обеспечением и настройка оповещений и исключений. Установка флажка Проверять наличие шпионского ПО при запуске программы разрешит проверку всех запущенных программ после старта Outpost Firewall Pro. Если проверка нагружает систему, можно установить флажок Выполнять указанные задания с низким приоритетом. В подпункте Профили и расписание настраиваются профили проверок системы и задания на автоматическую проверку в указанное время. При настройке профиля проверки можно указать, какие системные объекты и разделы жесткого диска следует проверять, а также проверку определенных типов файлов и архивов. С помощью раскрывающегося списка Выберите действие устанавливается действие по умолчанию для обнаруженных вредоносных объектов. Установка флажка Пропускать файлы, размер которых превышает: … Мб позволяет задать максимальный размер проверяемых файлов. На вкладке Сканер почты настраивается режим проверки вложений в электронные письма. Если почту уже проверяет антивирусная программа, можно отключить такую проверку, установив флажок Отключить фильтр вложений. Остальные пункты позволяют переименовывать вложения с указанными расширениями или помещать их в карантин.
Вкладка Веб-контроль содержит настройки одноименного модуля. С помощью ползунка выбирается уровень веб-контроля. На самом низком Облегченный блокируется только реклама по ключевым словам, интерактивные элементы разрешаются. Несмотря на то что изначально интерактивные элементы разрабатывались с целью упростить взаимодействие пользователей, они могут использоваться хакерами. При установке уровня Оптимальный блокируются некоторые опасные интерактивные элементы. Нажав кнопку Настройка, вы можете указать, какие конкретно элементы блокировать или разрешать: сценарии ActiveX и Visual Basic, приложения и сценарии Java, Cookies, всплывающие окна, внешние интерактивные элементы, скрытые фреймы, анимацию и реферреры.
Как и остальные информационные источники, многие интернет-ресурсы существуют благодаря рекламе. Некоторые сайты злоупотребляют баннерами, представляющими собой изображения различного размера, что приводит к замедлению загрузки. Кроме того, пользователь с помегабайтной оплатой теряет ценный трафик. Отключение отображения рисунков решает проблему только частично.
Примечание
Принято считать, что баннеры замедляют загрузку из-за своего размера, который иногда превышает размер самой информации, из-за которой пользователь загрузил ресурс. Это еще не все: баннеры загружаются с помощью сценариев, генерирующих адрес динамически, но чаще всего с других сайтов, поэтому в некоторых случаях пользователь вынужден ждать, пока будет найден сайт и определена информация, которую он затем увидит.
При установке ползунка на уровень Максимальный рекламу можно блокировать по размеру. Однако активное содержимое сегодня используется на многих ресурсах, и без его активизации невозможна полноценная работа. Такие сайты можно занести на вкладку Исключения. На вкладке Личные данные настраивается блокировка передачи личных данных, например попытка передачи номера кредитной карточки. Устанавливая различные параметры, можно автоматически заменять персональную информацию звездочками или блокировать передачу таких пакетов. Однако если вы работаете с интернет-магазинами и прочими ресурсами, требующими такой информации, занесите их в меню Исключения. Полностью блокировать известные вредоносные сайты и настроить блокировку рекламы по ключевым словам можно в подпункте Реклама и сайты. На вкладке По ключевым словам вы можете указать список ключевых слов, при совпадении с которыми в HTML-тегах IMG SRC= и A HREF= их загрузка будет блокирована. Нажав кнопку Загрузить или Сохранить, можно загрузить список, полученный с другого компьютера, или сохранить такой список для дальнейшего использования в других системах. Вкладка По размеру содержит список размеров рисунков, при совпадении с которыми в HTML-теге A рисунок будет блокирован. Чтобы добавить размер баннера, которого нет в списке, следует ввести его данные в поля Ширина и Высота и нажать кнопку Добавить.
4.3. Бесплатный брандмауэр COMODO Firewall Pro
Без сомнения, Outpost Firewall обладает богатыми возможностями и позволяет обеспечить полноценную защиту. Однако многие пользователи не хотят либо не имеют возможности заплатить за программный продукт. Рассмотрим один из доступных бесплатных брандмауэров – COMODO Firewall Pro. Многообразия дополнительных возможностей в подобных продуктах нет, но основную функцию – защиту сетевых соединений – он выполняет, а для борьбы с программами-шпионами, вирусами и прочими «подарками», которыми богат Интернет, можно использовать другие программы, описанные в данной книге.
COMODO Personal Firewall Pro разработан американской компанией Comodo Group и неоднократно занимал призовые места в различных тестах. Сайт проекта находится по адресу /. Этот брандмауэр способен самостоятельно разобраться с большинством потенциальных угроз и выдать пользователю соответствующее предупреждение и рекомендацию. Для персонального использования Comodo Firewall распространяется бесплатно, за плату продукт обеспечивает дополнительные возможности. Хотя его характеристики и так достаточны: он распознает несколько тысяч различных приложений по различным категориям (adware, spyware, безопасные и пр.). Можно добавить функции мониторинга реестра и файлов приложений; подозрительные файлы могут отправляться на сервер компании для анализа специалистами. Программа имеет простой и удобный интерфейс, к сожалению, в последней версии 3.0 – только английский. Версия 3.0 будет работать в Windows Vista, 64-битовых версиях Windows XP и Windows Server 2003. На сайте проекта доступна более ранняя версия 2.4, которая имеет вариант с русским интерфейсом. Версия 2.4 поддерживает Windows 2000.
В новой версии брандмауэр перенесен на новую архитектуру, получившую название A-VSMART (Anti-Virus, Spyware, Malware, Rootkit, Trojan). Ее задача – значительное повышение уровня защиты за счет более тщательного контроля трафика, мониторинга процессов и ограничения доступа к критическим системным объектам. Версия 3.0 стала более гибкой в настройке, пользователь получил большее количество параметров в свое распоряжение. Группа предварительно сконфигурированных политик позволяет построить более сложные правила, если в таковых будет необходимость.
Работа с Comodo Firewall Pro
Установка программы традиционна и, несмотря на отсутствие локализованного интерфейса, проста. В большинстве случаев достаточно соглашаться с установками по умолчанию и нажимать кнопку Next для перехода к следующему шагу. После сбора параметров системы и выбора каталога для установки запустится мастер Comodo Firewall Pro Configuration Wizard. На первом шаге он попросит выбрать режим работы приложения: Firewall with Defense + (Recommended) или Firewall. Второй режим – это работа в качестве межсетевого экрана без дополнительных возможностей. Если на компьютере не установлено приложение, совместная работа с которым вызывает конфликт, следует выбрать первый вариант, обеспечивающий максимальную защиту. На следующем шаге предстоит ответить, подключать ли A-VSMART, – ответьте положительно.
После установки программа начинает обучаться, отслеживая запуск любых приложений на компьютере пользователя и попытку установить соединение. Если COMODO не может самостоятельно принять решение, появится окно запроса (рис. 4.8), предлагающее пользователю сделать это. Цвет верхней части окна зависит от серьезности ситуации. Если COMODO оценивает событие как критичное, цвет будет красным, если опасность не так велика – желтым.
Рис. 4.8. Запрос к пользователю от COMODO
В верней части в поле Application указывается приложение, которое участвует в запросе, в Remote – IP-адрес удаленной системы и протокол (TCP или UDP), а в Port – порт в локальной системе, к которому поступил запрос. Пользователь может выбрать один из предложенных вариантов:
• Allow this request – разрешить это соединение;
• Block this request – заблокировать это соединение;
• Treat this application as – указать, как рассматривать это приложение.
При выборе последнего пункта с помощью раскрывающегося списка следует указать предустановленное правило. Если это сетевой запрос – Web browser (Веб-браузер), FTP client (FTP-клиент), Trusted application (Доверенное приложение), Blocked application (Блокировать приложение), Outgoing Only (Только исходящие). Если это приложение – Installer or Updater (Программа установки или обновления), Trusted application, Windows System Application (Системное приложение Windows), Isolated Application (изолированное приложение), Limited Application (ограниченное приложение). Чтобы COMODO запомнил выбор, проследите, чтобы был установлен флажок Remember my Answer. Когда выбор сделан, нажмите кнопку ОК.
При запуске локального приложения или его попытке установить соединение с другим компьютером пользователь информируется с помощью всплывающего окна Firewall is learning (рис. 4.9).
Рис. 4.9. Идет обучение брандмауэра
Интерфейс COMODO Firewall
Рассмотрим основные моменты. Визуально окно программы разбито на три части. Вверху находится панель с четырьмя кнопками, обеспечивающими доступ к основным функциям брандмауэра. Чтобы получить итоговую информацию по текущему состоянию, нажмите Summary (рис. 4.10).
Рис. 4.10. Интерфейс COMODO
В поле System Status показывается статус работы брандмауэра; после загрузки системы ему потребуется некоторое время для проверки текущих параметров и запущенных приложений и сервисов, после чего он выдаст итог. Если все нормально, вы увидите зеленый значок. В случае появления проблем COMODO сам подскажет их решение. В поле Network Defence показано общее количество входящих (inbound connection(s)) и исходящих (outbound connection(s)) соединений. Нажав ссылку Stop all Activities, можно быстро заблокировать все соединения. Ссылка, стоящая после The firewall security level is set to, показывает текущий уровень защиты. Щелкнув на ней, вы перейдете в окно настройки Firewall Behavior Settings, в которой с помощью ползунка можно выставить один из пяти уровней защиты:
• Disabled – сетевые политики отключены, весь входящий и исходящий трафик разрешен;
• Training Mode – брандмауэр находится в режиме обучения, информация о приложениях, устанавливающих соединения, запоминается без обращения к пользователю;
• Train with Safe Mode – режим, установленный по умолчанию; сетевые политики включены, информация об исходящем трафике, инициализированном безопасными приложениями, запоминается, пользователь ставится в известность всплывающим окном, при попытке неизвестного приложения установить любое сетевое соединение пользователь получает запрос;
• Custom Policy Mode – этот режим следует выбрать после обучения брандмауэра; он просто следует установленным политикам, блокируя неизвестные и разрешая описанные в правилах соединения;
• Block All Mode – режим блокировки всех соединений.
Обратите внимание на цифры в поле Keep an alert on screen for maximum … second – именно сколько секунд будет показываться окно предупреждения. При необходимости установите здесь другое значение. На вкладке Alert Setting устанавливаются уровни предупреждений. По умолчанию установлен низкий (Low). Используя ползунок Alert Frequency Level, можно повысить его, чтобы он информировал пользователя обо всех событиях в сети. Чтобы изменения вступили в силу, перед закрытием окна следует нажать кнопку Apply.
Аналогично сетевым соединениям, в Network Defence в поле Proactive Defence показывается активность приложений. Особый интерес представляет ссылка waiting for your review (Ожидает вашего обзора), возле которой отобразится количество файлов, решение по которым COMODO не может принять самостоятельно. Щелкните на ссылке – в окне My Pending Files (Мои рассматриваемые файлы) отобразится их список. По каждому файлу можно узнать его местонахождение, компанию (если есть) и статус (например, новый или модифицированный). Если самостоятельно решение принять сложно, отметьте файл флажком и нажмите кнопку Lookup (Поиск) – брандмауэр соединится с базой данных в Интернете и выдаст информацию по файлу. Чтобы подтвердить этот файл, нажмите кнопку Submit (Представить), для удаления файла из списка – кнопку Remove (Удалить), а для удаления из системы – Purge (Чистить). С помощью кнопки Move to (Переместить) файл можно переместить в указанное место. Если есть необходимость ручного добавления файла в этот список, воспользуйтесь кнопкой Add, после чего выберите файл на диске (Browse Files) или процесс (Browse Running Process).
Ссылка в строке The Defence security level is set to позволяет изменить режим системы защиты, назначение которого совпадает с описанными выше. По умолчанию используется оптимальный Clean PC Mode, при котором выполняются политики. При запуске доверенных приложений COMODO обучается, записывая новую информацию в политику. Исполняемые файлы на несменных носителях (кроме находящихся в My Pending Files и новых) считаются доверенными.
Нажав кнопку Firewall, можно получить доступ к настройкам работы межсетевого экрана, просмотреть события и соединения, добавить приложения в список доверенных или запрещенных, указать доверенные и недоверенные сети. Аналогичные пункты находятся в Defense+, только здесь настройки касаются приложений, а не сетевых соединений. В Miscellaneous можно импортировать/экспортировать настройки, провести диагностику и установить некоторые общие параметры работы COMODO.
Список бесплатных межсетевых экранов обширный. Из других решений можно посоветовать Jetico Personal Firewall от одноименной финской компании (/) или PC Tools Firewall Plus (/). Последний имеет локализованный интерфейс.
Глава 5 Системы отражения атак
Причины появления и принцип действия
Защита компьютера с помощью Kaspersky Internet Security
Общественная система безопасности Prevx1
Для защиты компьютерных систем в настоящее время разработано множество программ, выполняющих определенную задачу. Антивирусы защищают пользователей от вирусов, брандмауэры блокируют нежелательный трафик, целый класс систем обнаружения и остановки атак противостоит действиям злоумышленника.
5.1. Причины появления и принцип действия
Издавна за покоем жителей городов следили охранники и дозорные, которые в случае возникновения внештатной ситуации били тревогу. В виртуальном мире эта задача возложена на системы обнаружения (отражения) атак, или СОА (Intrusion Detection System – IDS). Первые системы обнаружения атак появились давно, начало их разработки связано с публикацией в 1980 году статьи «Computer Security Threat Monitoring and Surveillance» Джона Андерсона. С нее началось развитие систем обнаружения атак, хотя активно использовать их начали позже – приблизительно в начале 1990-х, после осознания опасностей виртуального мира.
В русском названии таких систем есть некоторая путаница: дословно Intrusion Detection System переводится как «система обнаружения вторжений», и во многих источниках используется именно оно. Однако последствием атаки необязательно должно быть вторжение, хотя сам факт атаки будет также зафиксирован такой системой. Правильнее использовать слово «атака».
Традиционно СОА делятся на системы, защищающие отдельный узел (Host IDS), и сетевые (Network IDS), контролирующие сетевые пакеты. Существуют также гибридные СОА, сочетающие возможности обеих систем. На определенном этапе разработчики захотели не только обнаруживать атаки, но и останавливать их. Так появились системы остановки атак. Любая СОА состоит из датчиков, собирающих информацию, и механизма анализа и принятия решений. Датчики для обнаружения подозрительных событий анализируют журналы работы системы, системные вызовы, поведение приложений, целостность файлов и сетевые пакеты. В качестве критерия используются наборы сигнатур, хотя все более популярными становятся средства, реагирующие на аномалии.
Сегодня для полноценной защиты уже не хватает связки антивирус – брандмауэр, поэтому разработчики предлагают СОА и для домашнего использования. Чтобы не пугать пользователя новыми названиями, при характеристике продукта применяются термины вроде «комплексное решение по защите» или «брандмауэр с расширенными возможностями». Таким примером является брандмауэр Outpost Firewall Pro, рассмотренный в предыдущей главе. В нем присутствует отдельный модуль, обеспечивающий защиту от сетевых атак. В главе 3 вы ознакомились с системами защиты компьютера, которые можно отнести к СОА, защищающим отдельный узел.
На домашнем компьютере функциональность СОА, используемых при защите сетей и серверов корпораций и потребляющих при этом большое количество ресурсов, не нужна. Для настольных систем предлагаются интегрированные решения, включающие антивирус, брандмауэр и СОА.
5.2. Защита компьютера с помощью Kaspersky Internet Security
Ранее для защиты от хакеров «Лаборатория Касперского» предлагала брандмауэр Kaspersky Anti-Hacker, в задачу которого входили контроль над входящими и исходящими соединениями и пресечение любых враждебных действий до нанесения ими вреда. С помощью этого приложения можно было скрыть компьютер, работающий в сети. Kaspersky Anti-Hacker продается в интернет-магазинах до сих пор, но на момент написания данной книги упоминание о нем исчезло с сайта «Лаборатории Касперского». Вместо него появилось комплексное решение, предназначенное для защиты от основных угроз (вирусов, хакеров, спама и шпионских программ), – Kaspersky Internet Security.
Эта программа способна полностью защитить домашний компьютер. С одной стороны, цена одного такого продукта меньше, чем суммарная стоимость всех решений, входящих в его состав. Кроме того, интеграция уменьшает возможность возникновения системных конфликтов. С другой стороны, если вирус или шпионская программа все-таки попадет на компьютер, она может одним действием полностью лишить его защиты. Это непросто, однако вероятность такого события исключать не стоит.
Установка Kaspersky Internet Security
Большая часть этапов установки Kaspersky Internet Security совпадает с установкой «Антивируса Касперского». Однако есть отличия, связанные с особенностями этого продукта. На начальном этапе программа установки попробует связаться с сервером компании для проверки наличия обновлений. При отсутствии соединения с Интернетом некоторое время придется подождать. После принятия лицензионного соглашения предлагается выбрать один из двух вариантов установки:
• Быстрая установка – будут установлены все компоненты программы с параметрами работы по умолчанию;
• Выборочная установка – установка отдельных компонентов с возможностью предварительной настройки; данный режим рекомендуется для опытных пользователей.
Рекомендуется выбрать быструю установку: в этом случае будет обеспечена максимальная защита компьютера. Если в каком-либо модуле не будет необходимости, его всегда можно отключить. Далее мастер проверит установленные программы и, если найдет несовместимые с KIS, выведет их список. Если вы продолжите установку, данные приложения будут удалены во избежание конфликтов. Если будут найдены конфигурационные файлы от предыдущей установки «Антивируса Касперского» или KIS, последует запрос на сохранение этих параметров. Если программы, мешающие работе KIS, удалялись, после этого, возможно, потребуется перезагрузка компьютера.
Как и в «Антивирусе Касперского», после установки программы запустится Мастер предварительной настройки. Если был выбран вариант Быстрая установка, мастер предложит активизировать продукт. После перезагрузки двойным щелчком на значке в Панели задач можно вызывать окно настройки параметров работы KIS (рис. 5.1).
Рис. 5.1. Окно настройки Kaspersky Internet Security
Большая часть пунктов меню совпадает с настройками «Антивируса Касперского», однако в меню Защита есть несколько новых пунктов:
• Сетевой экран – вывод статуса и быстрый доступ к настройкам режима работы встроенного межсетевого экрана, системы обнаружения вторжений, модулей Анти-Реклама и Анти-Банер, просмотр сетевой активности компьютера;
• Анти-Шпион – вывод статуса работы и быстрый доступ к настройкам модулей Анти-Шпион, Анти-Фишинг, Анти-Дозвон и Защита конфиденциальных данных;
• Анти-Спам – вывод статуса работы, запуск мастера обучения и быстрый доступ к настройкам модуля Анти-Спам;
• Родительский контроль – вывод статуса работы, активизация и деактивизация и быстрый доступ к настройкам этого модуля.
Разберем особенности новых функций и некоторые настройки.
Внимание!
После установки все вышеперечисленные функции отключены, что снижает безопасность системы, поэтому следует просмотреть вкладки и активизировать нужные.
Настройки параметров работы сетевого экрана
Для активизации сетевого экрана достаточно нажать ссылку Включить на соответствующей вкладке. Окно настройки параметров можно вызвать нажатием кнопки Настройка внизу окна и выбором соответствующего пункта или из соответствующего пункта меню Защита. Нажав ссылку Просмотреть текущую сетевую активность, вы отобразите количество активных приложений, использующих сеть, а также количество открытых соединений и портов.
В окне настроек модуля доступны несколько областей, в каждой из которых, установив соответствующий флажок, можно включить/отключить Сетевой экран полностью либо один из его компонентов – систему фильтрации, систему обнаружения вторжений, Анти-Рекламу или Анти-Баннер (рис. 5.2). В области настройки брандмауэра имеется ползунок, используя который, можно выставить один из пяти уровней защиты:
• Разрешать все – разрешена любая сетевая активность без ограничений, соответствует отключению брандмауэра;
• Минимальная защита – разрешены все сетевые соединения, кроме запрещенных правилами;
• Обучающий режим – пользователь самостоятельно решает, какую сетевую активность разрешать или запрещать; при попытке получить доступ к сети приложения, для которого не создано правило, у пользователя запрашивается подтверждение и на основе ответа создается новое правило;
• Максимальная защита – все неразрешенные соединения блокируются;
• Блокировать все – все соединения блокируются, запрещен доступ к локальной сети и Интернету; необходимо использовать в случае обнаружения сетевых атак либо при работе в опасной сети.
Рис. 5.2. Настройки модуля Сетевой экран
Во время установки создаются правила для всех приложений, однако они не всегда оптимальны для конкретной системы, поэтому рекомендуется изменить уровень защиты с минимального, который установлен по умолчанию, на обучающий. К режиму максимальной защиты следует переходить только если вы уверены, что созданы все разрешающие правила. Однако после установки нового программного обеспечения следует снова вернуться в обучающий режим защиты. При работе системы в обучающем режиме пользователю выводится уведомление (рис. 5.3).
Рис. 5.3. Уведомление о сетевой активности
Оно содержит описание активности и информацию, необходимую для принятия решения: вид соединения (входящее, исходящее), протокол, приложение, удаленный IP-адрес и порт, локальный порт. На основании полученных данных можно выбрать нужное действие, нажав соответствующую кнопку – Разрешить или Запретить. Выбор варианта Отключить режим обучения отключит этот режим работы модуля.
Если установлен флажок Создать правило, то на основании выбранного ответа формируется новое правило, и во время последующей сетевой активности этого приложения при совпадении параметров запроса программа не будет беспокоить пользователя. В раскрывающемся списке необходимо выбрать тип активности, к которому применимо выбранное действие. Доступно несколько вариантов:
• Любая активность – любая сетевая активность этого приложения;
• Выборочно – конкретная активность, которую следует указать в окне создания правила;
• Этот адрес – активность приложения, удаленный адрес сетевого соединения которого совпадает с указанным; может быть полезна, если вы хотите ограничить работу в сети для выбранного приложения указанными адресами.
Можно также выбрать одну из предустановок, описывающих характер приложения: Почтовая программа, Браузер, Менеджер загрузки, FTP-клиент, Telnet-клиент или Синхронизатор часов.
Модуль обнаружения вторжения компонента Сетевой экран реагирует на активность, характерную для сетевых атак. При обнаружении попытки атаковать компьютер на экране появится соответствующее уведомление с указанием информации об атакующем компьютере: вид атаки, IP-адрес атакующего, протокол и сервис, который подвергся атаке, дата и время. При этом система блокирует IP-адрес атакующего компьютера на один час. Изменить время блокировки можно в области Система обнаружения вторжений в поле возле флажка Добавить атакующий компьютер в список блокирования на.
Настройка правил для приложений
Тоньше всего можно настроить работу модуля Сетевой экран с помощью правил. В поставку включен набор правил для наиболее известных приложений, сетевая активность которых проанализирована специалистами и которые имеют четкое определение – полезная или опасная. Для одной программы можно создать несколько как разрешающих, так и запрещающих правил. В большинстве случаев для создания правил достаточно использовать обучающий режим и в диалоговом окне задавать условия, при которых программа будет получать доступ в сеть. Однако может возникнуть ситуация, когда потребуется отредактировать созданное правило, например, если был ошибочно блокирован доступ в сеть полезному приложению. Правила можно создавать самостоятельно. Чтобы перейти к окну редактирования правил, нажмите кнопку Настройка в области Система фильтрации. В появившемся окне перейдите на вкладку Правила для приложений (рис. 5.4).
Рис. 5.4. Окно настройки правил для приложений
Все правила на этой вкладке можно сгруппировать двумя способами. Если установлен флажок Группировать правила по приложениям, отображается список приложений, для которых имеются сформированные правила. Для каждой программы выводится следующая информация: имя и значок приложения, командная строка для запуска (если есть), корневой каталог, в котором расположен исполняемый файл приложения, и количество созданных для нее правил.
Дважды щелкнув кнопкой мыши на выбранном приложении, можно просмотреть и изменить список правил. Щелчок на правиле покажет его свойства: разрешено или запрещено, исходящий, входящий поток или оба направления, протокол, удаленный и локальный порт, удаленный IP-адрес и время суток, в течение которого действует правило (рис. 5.5). Дважды щелкнув на правиле или выбрав правило и нажав кнопку Изменить, вы получите доступ к окну редактирования правила, в котором можно изменить любой из указанных параметров. Нажав кнопку Добавить, можно самостоятельно создать новое правило. Порядок редактирования и создания правил напоминает редактирование правил в Outpost Firewall (см. соответствующий раздел).
Рис. 5.5. Свойства правила
Обратите внимание на кнопки Экспорт и Импорт: с их помощью можно быстро перенести сформированные правила на другие компьютеры, что удобно для быстрой настройки правил модуля Сетевой экран. Нажмите кнопку Экспорт и укажите расположение и имя файла, в который нужно сохранить настройки, после чего перенесите файл на другой компьютер, нажмите Импорт и выберите файл с сохраненными настройками.
Чтобы получать предупреждение или записывать в отчет срабатывание правила, необходимо установить флажки Показывать предупреждение и Записывать в отчет в окне Редактирование правила.
При снятом флажке Группировать правила по приложениям все правила будут показаны без группировки по имени приложения.
Если вы обнаружили, что приложение не может получить доступ в сеть, одной из причин может быть установка запрещающего правила в модуле Сетевой экран. Самым быстрым способом проверить это является временная приостановка работы Сетевого экрана. Это можно сделать несколькими способами. Можно выбрать в окне настроек уровень защиты Разрешить все либо снять флажок Включить Сетевой экран и нажать кнопку Применить. Если после этого приложение будет работать нормально, значит, дело в запрещающем правиле. Ситуацию легко исправить: зайдите в окно настройки правил для приложений, выберите приложение и просмотрите все созданные для него правила, обращая особое внимание на запрещающие. В крайнем случае можно отметить приложение, щелкнув на нем кнопкой мыши, и нажать кнопку Удалить, чтобы удалить все созданные для него правила. Затем выберите обучающий режим безопасности и создавайте новые правила по мере необходимости.
Кроме Правила для приложений окно настройки Анти-Хакера содержит еще три вкладки. Вкладка Правила для пакетов похожа на описанную выше, только в ней можно задавать правила фильтрации для пакетов (рис. 5.6).
Рис. 5.6. Окно создания правил для пакетов
Записанные на этой вкладке правила действуют на более низком уровне, поэтому применяются независимо от приложения, которое генерирует или принимает их. При необходимости, например, глобально запретить доступ к некому ресурсу или сервису (локальному или удаленному) здесь следует указать необходимые параметры, тогда, сменив приложение, нельзя будет обойти запрет, созданный для конкретной программы. Для каждого правила фильтрации приводится следующая информация: имя правила, разрешающее или запрещающее, протокол передачи, направление пакета и параметры сетевого соединения, по которому передается пакет. Правило можно отключить, сняв соответствующий флажок.
Мастер найдет все сетевые интерфейсы, имеющиеся на компьютере, и определит для каждого политику безопасности, то есть степень доверия находящим ся в этих зонах компьютерам. Список сетевых интерфейсов доступен на вкладке Зоны: здесь можно отредактировать список сетевых интерфейсов и изменить политику безопасности.
Если во время установки будут найдены не все интерфейсы, нажмите кнопку Найти для повторного поиска. Если это не поможет, следует нажать кнопку Добавить и в появившемся окне ввести имя, адрес подсети и сетевую маску. Степень доверия характеризуется статусом сети. Статус может принимать следующие значения:
• Доверенная – разрешены все соединения без ограничений;
• Локальная сеть – другим компьютерам разрешен доступ к локальным файлам и принтерам, разрешена отправка сообщений об ошибках (протокол ICMP), а режим невидимости по умолчанию выключен; сетевая активность приложений регулируется правилами;
• Интернет – запрещен доступ к файлам и принтерам и отправка ICMP-сообщений, режим невидимости включен; сетевая активность приложений регулируется правилами.
Для всех зон, кроме Интернета, можно изменить статус. Для этого необходимо щелкнуть на названии в области Описание. Зона Интернет всегда имеет статус Интернет, и изменить ее невозможно, поэтому при работе в Сети пользователь будет максимально защищен. Режим невидимости можно изменить несколькими способами, самый простой – установка одноименного флажка.
Примечание
В режиме невидимости нет ничего необычного. Удаленному компьютеру отсылается ICMP-пакет с кодом ECHO_REQUEST. Вручную такую проверку можно запустить, выполнив команду Пуск → Выполнить и введя в открывшемся окне команду ping имя_узла. Если компьютер включен в сеть, в ответ должен прийти пакет с кодом ECHO_REPLY. В режиме невидимости такие пакеты блокируются, значит, для большинства приложений, первоначально проверяющих его работоспособность, он невидим.
На вкладке Дополнительно с помощью переключателя можно выбрать один из двух режимов работы:
• Максимальная совместимость (рекомендуется) – в этом режиме Сетевой экран настроен оптимально для решения большинства повседневных задач, однако при этом возможно замедление времени реакции в некоторых сетевых играх;
• Максимальная скорость – режим, обеспечивающий максимальную скорость сетевых игр, но в то же время возможны проблемы с совместимостью, которые можно частично решить, отключив режим невидимости.
Чтобы новые параметры, выбранные на вкладке Дополнительно, вступили в силу, следует перезагрузить компьютер.
В модуль Сетевой экран входят еще два компонента.
• Анти-Реклама – блокирует всплывающие окна, используемые для рекламирования продуктов или услуг и не несущие полезной нагрузки. При попытке открыть такое окно его вывод блокируется, а пользователю выводится предупреждение, в котором он может принять решение о блокировке или разрешении вывода. Корректно работает с модулем, блокирующим всплывающие окна в Microsoft Internet Explorer, который входит в состав пакета обновлений Service Pack 2 для Microsoft Windows XP.
• Анти-Баннер – блокирует рекламную информацию, показываемую с помощью баннеров при отображении веб-страниц или встроенных в интерфейс программ, установленных на компьютере.
Всплывающие окна не всегда содержат рекламу, на некоторых сайтах таким образом показывается окно выбора файлов для загрузки либо более быстрого доступа или вывода некоторой информации. Чтобы модуль Анти-Реклама не блокировал такие окна, их необходимо внести в список доверенных. Для этого нажмите кнопку Доверенные адреса, которая расположена в области Блокирование всплывающих окон, затем нажмите кнопку Добавить и в появившемся окне введите адрес ресурса, всплывающие окна которого не должны блокироваться. При этом можно использовать маски. Например, * определит все адреса, начинающие со слова microsoft, как доверенные. С помощью флажков, которые расположены в области Доверенная зона, можно определить узлы, входящие в доверенную зону Microsoft Internet Explorer и локальной сети, как доверенные.
Примечание
В Internet Explorer можно указать список узлов, которые пользователь считает надежными. Для этого выполните в окне браузера команду Сервис → Свойства обозревателя, перейдите на вкладку Безопасность, щелкните на значке Надежные узлы и нажмите кнопку Узлы, расположенную ниже. В появившемся окне введите веб-ресурсы, которым доверяете.
В стандартную поставку компонента Анти-Баннер включен список шаблонов часто встречающихся баннеров. Нажав кнопку Настройка, расположенную в области Блокирование рекламных баннеров, вы можете самостоятельно задать список запрещенных и разрешенных баннеров. Появившееся окно содержит три вкладки (рис. 5.7).
Рис. 5.7. Настройка блокировки баннеров
На вкладке Общие размещен список баннеров, сформированных специалистами «Лаборатории Касперского». Этот список недоступен для редактирования, но вы можете отключить любое правило, сняв соответствующий флажок. Для анализа баннеров, не попадающих под маски стандартного списка, установите флажок Использовать методы эвристического анализа – загружаемые изображения будут анализироваться на предмет наличия специфических для баннеров признаков. На вкладках «Черный» список и «Белый» список указываются пользовательские маски для баннеров, которые необходимо блокировать и разрешать. Занести в список новую маску просто. Перейдите на нужную вкладку, нажмите кнопку Добавить и в появившемся окне введите полный адрес (URL) баннера либо шаблон. В последнем случае при открытии баннера Анти-Баннер будет искать в его адресе указанную последовательность символов. Заданные на этих вкладках адреса действуют только на отображение баннеров, поэтому можно указать адрес целого сайта, например /, и баннеры, принадлежащие этому сайту, будут блокироваться. Кнопки Экспорт и Импорт, расположенные на этих вкладках, помогут быстро перенести сформированные списки на другие компьютеры.
Модуль Анти-Шпион
Чтобы закончить рассказ о Kaspersky Internet Security, рассмотрим три оставшихся модуля: Анти-Шпион, Анти-Спам и Родительский контроль. Подробнее о шпионских программах рассказано в главе 6, о борьбе со спамом – в главе 8, о программах родительского контроля – в главе 9, фишинг-атаки рассмотрены в главе 7.
Модуль Анти-Шпион позволяет защититься от навязчивой рекламы, выводимой в окне браузера в виде баннеров и всплывающих окон. Использование этого модуля дает возможность распознать известные способы мошенничества в Интернете, попытки кражи конфиденциальной информации (паролей, номеров кредитных карт), неавторизованного доступа в Интернет и несанкционированного пользования платными ресурсами.
Выбрав модуль Анти-Шпион в главном окне программы, вы получите общую статистику работы и текущий статус модуля в целом и его отдельных компонентов. Здесь же можно временно приостановить или остановить работу модуля, а также включить защиту, если она была отключена.
Щелкнув на ссылке Настройка, вы попадете в окно настройки модуля (рис. 5.8).
Рис. 5.8. Окно настройки модуля Анти-Шпион
Все настройки в Kaspersky Internet Security однотипны, поэтому, освоив один компонент, найти настройки другого просто. Сняв флажок Включить Анти-Шпион и нажав кнопку Применить, можно отключить модуль. Анти-Шпион состоит из трех компонентов:
• Анти-Фишинг – защищает от фишинг-атак, отслеживая попытки открытия известных фишинг-сайтов: в состав Kaspersky Internet Security включена информация обо всех известных в настоящее время сайтах, которые используются для проведения такого рода атак; при обновлении сигнатур угроз этот список также обновляется;
• Анти-Дозвон – блокирует попытку установки модемных соединений с платными ресурсами Интернета;
• Предотвращение передачи конфиденциальных данных – распознает и предупреждает пользователя (в настройках по умолчанию) о попытке передачи конфиденциальных данных или попытке получения доступа к персональным данным или паролям.
Аналогично для модуля Анти-Дозвон: если вы хотите разрешать соединения по определенным номерам без запроса программы, добавьте их в список доверенных номеров. Для этого нажмите кнопку Доверенные номера и введите телефонный номер или шаблон. Чтобы временно убрать номер из списка, снимите соответствующий флажок, а если номер необходимо удалить совсем, выберите его с помощью кнопки мыши и нажмите кнопку Удалить.
Настройка модуля Анти-Спам
Удобно, что в поставке Kaspersky Internet Security содержится комплекс приложений, необходимых для полноценной защиты системы. Зарегистрировав почтовый ящик, вы вскоре обнаружите в нем письма, не предназначенные лично вам, для чего полезно наличие модуля Анти-Спам, который умеет обнаруживать такие послания.
Выбрав модуль Анти-Спам в главном окне программы, вы сможете получить информацию о статусе его работы и статистику проверенных с момента запуска сообщений и сообщений, распознанных как спам. Щелкнув на любом месте области Открыть отчет, можно получить более детальную информацию. Нажатие кнопки Настройка приведет к окну настройки работы модуля (рис. 5.9).
Рис. 5.9. Окно настройки модуля Анти-Спам
Все электронные сообщения, которые модуль распознал как спам, помечаются в поле Тема меткой [!! SPAM]. Сообщения, вероятно, являющиеся потенциальным спамом, помечаются как [?? Probable Spam]. Больше никаких операций Анти-Спам не производит и письма самостоятельно не удаляет, даже если они однозначно классифицированы как спам.
По умолчанию защита от спама включена. Чтобы ее отключить, снимите флажок Включить Анти-Спам, а если защиту нужно временно приостановить, воспользуйтесь кнопками в главном окне программы. Для удобства в приложении введены уровни агрессивности работы модуля – нужный уровень выбирается с помощью ползунка, расположенного в одноименной области окна настройки.
Возможен следующий выбор:
• Разрешать все – самый низкий уровень контроля: спамом признается только почта, которая содержит строки из «черного» списка фраз или отправитель которой включен в «черный» список;
• Низкий – более строгий уровень, в котором производится полный анализ, но уровень реакции механизмов анализа поступающих писем установлен ниже обычного, поэтому вероятность прохождения спама выше, хотя потери меньшие; рекомендуется использовать, если вы получаете много полезных писем, ошибочно принимаемых за спам;
• Рекомендуемый – уровень, устанавливаемый по умолчанию и оптимальный по настройкам; для более точного определения спама потребуется режим обучения;
• Высокий – уровень с более строгими порогами срабатывания механизмов определения, поэтому в спам могут попасть письма, таковым не являющиеся; письма анализируются на основании «белого» и «черного» списков и с применением современных технологий фильтрации; рекомендуется, когда адрес получателя неизвестен спамерам;
• Блокировать все – самый высокий уровень: только письма из «белого» списка будут проходить беспрепятственно, остальные будут помечаться как спам.
Можно указать параметры определения спама самостоятельно. Для этого нажмите кнопку Настройка в области Уровень агрессивности. В появившемся окне находятся четыре вкладки. Вкладки «Белый» список и «Черный» список схожи по настройкам, только прописанные в них параметры будут вызывать различную реакцию Анти-Спама. Все, что занесено в «Белый» список, однозначно будет относиться к нормальной почте, а то, что будет в «Черном» списке, укажет на спам. Каждая вкладка разделена на два блока. В верхней части записываются адреса электронной почты, внизу – ключевые фразы. Адреса электронной почты могут заполняться вручную или при обучении модуля Анти-Спам. Чтобы вручную задать электронный адрес, письма с которого не будут рассматриваться как спам, перейдите на вкладку «Белый» список и установите флажок Я хочу получать письма от следующих отправителей, затем нажмите Добавить и в появившемся поле введите адрес. Можно вводить полный электронный адрес, к примеру vasja@mail.ru, а можно использовать шаблоны. Например, шаблон *@mail.ru укажет Анти-Спаму, что все письма, пришедшие с сервера mail.ru, подпадают под правило.
Чтобы добавить строку, на основании которой письмо будет расценено как полезное, установите флажок Я хочу получать письма, содержащие следующие фразы, нажмите кнопку Добавить и введите фразу или шаблон. Можете договориться с друзьями, чтобы они всегда подписывали письма какой-либо фразой, которая занесена в «Белый» список, тогда письма, пришедшие от них, не попадут в спам.
Аналогично заполняются почтовые адреса и фразы на вкладке «Черный» список. Установите флажок Я не хочу получать письма от следующих отправителей для активизации фильтра по почтовому адресу. Для включения фильтрации по ключевым словам предназначен флажок Я не хочу получать письма, содержащие следующие фразы.
При занесении ключевой фразы требуется дополнительно указать соответствующий ей весовой коэффициент. Самому подобрать коэффициент сложно, если вы сомневаетесь, укажите значение 50 или воспользуйтесь имеющимися правилами как подсказкой. Письмо будет отнесено к спаму, если его суммарный коэффициент превысит определенное число. В отличие от «белого» списка, в «черный» разработчики занесли фразы, наиболее часто употребляемые спамерами.
Для распознавания спама модуль Анти-Спам использует различные технологии, которые можно включить и отключить на вкладке Распознавание спама (рис. 5.10).
Рис. 5.10. Настройка технологий фильтрации спама
В области Фильтры указывается, какие технологии задействовать для обнаружения спама:
• самообучающийся алгоритм iBayes – анализ текста почтового сообщения на предмет наличия фраз, относящихся к спаму;
• технология GSG – анализ изображений, помещенных в письмо: на основании сопоставления с уникальными графическими сигнатурами делается вывод о принадлежности изображения к графическому спаму;
• технология PDB – анализ заголовков: на основании набора эвристических правил делается предположение о принадлежности письма к спаму;
• технология Recent Terms – анализ текста сообщения на наличие фраз, типичных для спама; в качестве эталона используются базы, подготовленные специалистами «Лаборатории Касперского».
В областях Фактор спама и Фактор потенциального спама указывается коэффициент, при превышении которого письмо будет расценено как спам или потенциальный спам. По умолчанию выбраны оптимальные значения; используя ползунок, можно самостоятельно выставить необходимый уровень. Поэкспериментировав, вы найдете приемлемые параметры.
Вкладка Дополнительно позволяет указать дополнительные критерии, по которым будет определяться спам (неправильные параметры сообщения, наличие некоторых типов html-вставок и пр.). Необходимо установить соответствующий флажок и задать фактор спама в процентах. По умолчанию фактор спама во всех критериях равен 80 %, а письмо будет признано как спам, если сумма всех критериев будет равна 100 %. Если хотите, чтобы все письма, которые вам не адресованы, считались спамом, установите флажок Адресованные не мне, после чего нажмите кнопку Мои адреса, затем Добавить и введите все используемые вами почтовые адреса. Теперь при анализе нового сообщения будет проверен адрес получателя, и если адрес не совпадет ни с одним адресом списка, сообщению будет присвоен статус спама. Когда вы вернетесь в главное окно настроек Анти-Спама, в нем будет задан уровень агрессивности Пользовательский.
Обучение Анти-Спам
Чтобы повысить эффективность модуля Анти-Спам, необходимо обучить его, указывая, какие письма являются спамом, а какие – обычной корреспонденцией. Для обучения используется несколько подходов. Например, чтобы адреса корреспондентов, с которыми вы общаетесь, автоматически заносились в «белый» список, нужно установить флажок Обучаться на исходящих письмах (он расположен в поле Обучение окна настройки модуля Анти-Спам). Для обучения будут использованы только первые 50 писем, затем обучение завершится. По окончании обучения следует уточнить «белый» список адресов, чтобы убедиться, что в нем находятся нужные записи.
В области Обучение расположена кнопка Мастер обучения. Нажав ее, вы в пошаговом режиме сможете обучить Анти-Спам, указывая папки почтового клиента, содержащие спам и обычные письма. Такое обучение рекомендуется произвести в самом начале работы. После вызова мастера обучения нужно пройти четыре шага.
1. Определение папок, содержащих полезную корреспонденцию.
2. Указание папок, в которых находится спам.
3. Автоматическое обучение Анти-Спам. Почтовые адреса отправителей полезной почты заносятся в «белый» список.
4. Сохранение результата работы мастера обучения. Здесь можно добавить результаты работы к старой базе либо заменить ее новой.
В целях экономии времени мастер обучает Анти-Спам только на 50 письмах в каждой папке. Чтобы алгоритм Байеса, используемый для распознавания спама, работал правильно, следует произвести обучение как минимум на 50 письмах полезной почты и 50 письмах спама.
У пользователя не всегда может быть столько писем, но это не проблема. Обучить Анти-Спам можно в процессе работы. Возможны два варианта обучения:
• с использованием почтового клиента;
• с использованием отчетов Анти-Спам.
Во время установки модуль Анти-Спам встраивается в следующие почтовые клиенты:
• Microsoft Office Outlook – на панели появляются кнопки Спам и Не Спам, а в окне, вызываемом командой меню Сервис → Параметры, вкладка Анти-Спам;
• Microsoft Outlook Express – в окне появляются кнопки Спам и Не Спам и кнопка Настройка;
• The Bat! – новые компоненты не появляются, но Анти-Спам реагирует на выбор пунктов Пометить как спам и Пометить как НЕ спам в меню Специальное.
Обучение с использованием отчетов просто. Выберите модуль Анти-Спам в главном окне программы и щелкните на области Открыть отчет. Заголовки всех писем отображаются на вкладке События открывшегося окна. Выделите с помощью кнопки мыши письмо, которое будет использовано для обучения Анти-Спама, нажмите кнопку Действия и выберите один из четырех вариантов: Отметить как спам, Отметить как не спам, Добавить в «белый» список или Добавить в «черный» список. После этого Анти-Спам будет обучаться. Обратите внимание, что при нехватке записей в базе данных в заголовке этого окна отобразится надпись, говорящая, сколько еще писем требуется для обучения модуля.
Если в окне настроек Анти-Спама установлен флажок Открывать Диспетчер писем при получении почты, вы получаете еще одну возможность регулирования поступающей почты. При соединении с почтовым сервером будет открываться Диспетчер писем, который позволяет просмотреть список сообщений на сервере без их загрузки на компьютер (рис. 5.11).
Рис. 5.11. Диспетчер писем
Здесь отображается информация, необходимая для принятия решения: отправитель, получатель, тема и размер сообщения. В столбце Причина может показываться комментарий модуля Анти-Спам.
По умолчанию Анти-Спам анализирует проходящие письма вне зависимости от установленного почтового клиента. Если в качестве последнего используется один из почтовых клиентов, перечисленных выше, такая двойная работа излишняя, поэтому стоит снять флажок Обрабатывать трафик POP3/SMTP/IMAP, который находится в области Встраивание в систему. Установите его, только если используете отличную от перечисленных почтовую программу. Если интеграция с указанными почтовыми клиентами не требуется, снимите флажок Включить поддержку Microsoft Office Outlook/The Bat!.
Отказавшись от приема ненужных или подозрительных сообщений, можно не только сэкономить трафик, но и снизить вероятность загрузки на компьютер спама и вирусов. При выборе сообщения внизу отобразится его заголовок, содержащий дополнительную информацию об отправителе письма. Для удаления ненужного сообщения установите флажок напротив письма в столбце Удалить и нажмите кнопку Удалить выбранные. Если вы хотите, чтобы Диспетчер показывал только новые сообщения на сервере, проследите, чтобы был установлен флажок Показывать только новые сообщения.
5.3. Общественная система безопасности Prevx1
У большинства сегодняшних систем защиты компьютера имеются недостатки. Главным из них является то, что они не могут защитить систему от новых видов атак или вирусов, не занесенных в базы.
Примечание
В специальной литературе для обозначения новых неизвестных видов атак часто используется термин zero-day (0-day) attack.
На обучение проактивных систем уходит некоторое время, в течение которого решение о допуске программы принимает пользователь. Подобные системы сегодня задают все меньше вопросов, однако от пользователя требуется некий уровень понимания происходящего в системе – хотя бы такой, чтобы появление нового процесса вызывало подозрение. Созданные профили будут известны только на одном компьютере, поэтому в случае атаки на другую машину обучение придется повторять сначала. Вероятность возникновения ошибки велика, особенно учитывая характерный для проактивных систем высокий процент ошибок.
Создателям общественной системы предотвращения атак (Community Intrusion Prevention System, CIPS) Prevx (/), английской компании Prevx Limited, удалось найти золотую середину. Эта система только набирает популярность, однако оригинальность решения и эффективность делают ее достойной рассмотрения.
Принцип работы
Впервые прототип нового типа системы отражения атак был представлен общественности в феврале 2004 года и назывался Prevx Home. Уникального в представленной системе было много. В отличие от антивирусных систем, использующих для определения злонамеренных файлов сигнатуры, или некоторых систем, работающих со списком разрешенных приложений, в новой системе применялись правила, которые описывали поведение и средства контроля целостности программ. Причем в список попадали как заведомо хорошие, так и плохие программы, что позволяло быстро определить характер нового приложения или процесса на компьютере. Однако не это главное.
В системе используется единая база данных Community Watch. Она является наиболее мощным источником информации, определяющим существование, распространение и деятельность как благоприятного, так и злонамеренного программного обеспечения. Используя информацию, собранную в этой базе данных, можно проследить и проанализировать в реальном времени поведение и распространение обществом каждой программы. На каждом клиентском компьютере устанавливаются агенты безопасности, которые отслеживают ситуацию в защищаемой системе. При установке нового приложения либо появлении нового, неизвестного локальной базе процесса агент по Интернету отсылает запрос к центральной базе и на основании полученной информации делает вывод о ее благонадежности.
Если в центральной базе данных нет информации о новой программе, новый модуль заносится в нее и помечается как неизвестный, и пользователь предупреждается о возможном риске. В отличие от антивирусов, требующих некоторого времени для анализа специалистами, Community Watch в большинстве случаев способна самостоятельно определить характер программы, основываясь на поведенческих характеристиках. Для этого используется методика Four Axes of Evil, которая определяет характер программы по четырем составляющим: скрытность, поведение, происхождение и распространение. В результате создается ее описание, содержащее приблизительно 120 параметров, позволяющих однозначно идентифицировать эту программу в будущем, то есть если неизвестная базе утилита выполняет те же действия, что и известная зловредная программа, ее назначение очевидно. Если данных, собранных агентом, недостаточно для принятия однозначного решения, база данных может потребовать копию программы для проверки. По заявлению разработчиков, только небольшой процент случаев требует особого вмешательства специалистов.
При первом запуске база данных содержала информацию о миллионе событий, а через 20 месяцев в ней уже была информация о миллиарде. Такой принцип работы позволяет устранить ложные срабатывания, поэтому неудивительно, что вскоре появилась программа нового поколения – Prevx1, тестирование которой началось с 16 июля 2005 года. Результат превзошел все ожидания: 100 тыс. разбросанных по всему миру компьютеров с установленными на них Prevx1 оказались способными противостоять новым угрозам в реальном времени.
Сегодня оптимизированная база данных содержит более 10 млн уникальных событий и 220 тыс. вредных объектов. Ежедневно система автоматически обнаруживает и нейтрализует свыше 400 вредных приложений и около 10 тыс. программ различного назначения. Антивирусам не угнаться за такой производительностью. По статистике, приведенной на сайте, новый пользователь, подключившийся к Prevx1, в 19 % случаев находит у себя в системе вредоносные программы. Prevx1 может использоваться автономно, самостоятельно защищая компьютер, и совместно с другими продуктами, усиливающими ее действие: брандмауэром, антивирусом и программами для поиска шпионских модулей.
Работа с Prevx CSI
Для установки Prevx потребуется компьютер, имеющий не менее 256 Мбайт оперативной памяти и процессор с частотой 600 Мгц, работающий под управлением Windows 2000/XP/2003 и Vista. Это минимальные требования, для комфортной работы желательно использовать более современное оборудование.
Существует несколько вариантов продукта, каждый из которых имеет свои особенности, рассчитанные на конкретные условия применения, и соответствующую стоимость. Доступна также бесплатная версия продукта Prevx Computer Security Investigator (CSI), получить которую можно по адресу /.
Разработчики поступили просто: наличие бесплатной версии привлекает к проекту новых пользователей, которые добавляют свои сигнатуры в базу данных сообщества и тестируют на своем оборудовании непроверенное программное обеспечение. Версию Free можно установить обычным образом на жесткий диск или на USB-устройство хранения информации. Единственное ограничение этой версии – невозможность удаления найденных вредоносных файлов (производится только проверка компьютера). Зато ее можно производить любое количество раз для подстраховки, запуская вручную или по расписанию, и в случае обнаружения проблем принимать меры с помощью других утилит, описанных в данной книге.
Установка Prevx1 не вызывает сложностей, но для верификации требуется подключение к Интернету. Запустите исполняемый файл, подтвердите согласие с лицензией, установив флажок и нажав кнопку Continue (Продолжить). Начнется сканирование системной области, по окончании которого будет выведен результат (рис. 5.12).
Рис. 5.12. Консоль управления Prevx CSI
Обратите внимание на сообщение после System Status. Если значок напротив окрашен в зеленый цвет и подписан Clean, это означает, что на компьютере не обнаружено вредоносных программ. Если значок красный и подпись Infected– на компьютере найдены вредоносные программы и следует принять меры. Если на компьютере будет обнаружена неизвестная программа, значок окрасится в желтый предупреждающий цвет, в этом случае пользователь должен быть внимателен, так как это может быть вредоносная программа.
Prevx должен обновлять локальную базу по мере необходимости, если соединение производится через прокси-сервер, его настройки следует указать на вкладке Configure в поле Activate Proxy Support. Автоматическую проверку системы можно установить на вкладке Scheduler. Установите флажок Scan my system every и с помощью раскрывающихся списков, расположенных справа, укажите периодичность и время проверки. Можно выбрать ежедневную проверку (Day) или указать на один из дней недели. Чтобы проверка производилась, если компьютер был выключен, установите флажок If my computer is not powered is on at the scheduled time. Для проверки компьютера после загрузки системы установите Scan automatically on bootup.
Глава 6 Потенциально опасные программы
Терминология и теория
Борьба с потенциально опасными программами
До этой главы речь шла в основном о программах, наносящих компьютеру явный вред. Однако в последнее время в прессе все чаще появляется информация не о вирусах и хакерских атаках, а о шпионских и рекламных модулях. Разберемся, что представляют собой продукты этого класса, и научимся с ними бороться.
6.1. Терминология и теория
В начале 1990-х годов были популярны вирусы и другие программы, целью которых было разрушение информации или просто шутка. Интернет развивался, количество пользователей быстро увеличивалось, и, главное, в Интернет пришли большие деньги. Появились организации и компании, заинтересованные в сборе маркетинговой информации и рекламе пользователю. Бизнес освоил новую сферу – Интернет. Чтобы совершить покупку, уже не нужно ехать с деньгами в магазин: достаточно зайти на сайт, заполнить форму и указать номер кредитной карточки – товар доставят домой. Естественно, появились желающие завладеть такой информацией.
Спрос порождает предложение, поэтому появились программы, предназначенные для вышеописанных целей. Прежде всего необходимо разобраться с терминологией. Устоявшихся терминов пока нет, и категорию опасности различным классам программ каждый производитель присваивает по-своему. Термин Malware произошел от слияния двух английских слов – malicious (плохое, злобное) и software (программное обеспечение). Им обозначают все программы, наносящие вред компьютеру, на котором они выполняются, или другим компьютерам в сети. Сюда входят сетевые и почтовые черви, компьютерные вирусы, троянские программы, хакерские утилиты, шпионские и рекламные модули и пр.
Шпионские модули, или Spyware, собирают информацию о компьютере и предпочтениях пользователя: посещаемых интернет-ресурсах, поисковых запросах, версии операционной системы и веб-браузера, используемом программном обеспечении, IP-адресе компьютера, с которого пользователь выходит в Интернет, и другие данные, которые можно использовать для рекламных кампаний. Они же могут применяться для кражи кодов и паролей доступа к ресурсам, электронных денег, номеров кредитных карт и иногда для уничтожения информации. В эту категорию иногда включают программы, предназначенные для перенаправления пользователя к своим собственным ресурсам. Для этого подменяется начальная страница загрузки браузера, фальсифицируются результаты поиска в Интернете, причем иногда с использованием подставного веб-сайта, внешне похожего на известный поисковый ресурс. Некоторые антивирусные компании, например «Лаборатория Касперского», относят к Spyware следующие элементы.
• Программы дозвона – обычные полезные программы, с помощью которых пользователь соединяется с Интернетом через модем, но в то же время они могут быть использованы для несанкционированного соединения с платными ресурсами, после чего пользователю будут приходить огромные счета.
• Утилиты для закачивания файлов из Интернета – также полезны, но злоумышленник может использовать их, чтобы незаметно для пользователя записать на его компьютер вредоносный код.
• Серверы (FTP, Proxy, Web, Telnet), IRC-клиенты, средства мониторинга, средства удаленного администрирования, утилиты для восстановления паролей – также полезны, но с их помощью вредитель может получать доступ к файлам пользователя и паролям, собирать статистику о работе системы и удаленно управлять компьютером.
В русскоязычном пространстве для обозначения этих программ используется термин Riskware, или условно-опасные программы. В англоязычном – чаще используется термин Spyware. Обозначают они одно и то же.
Недалеко от шпионских программ ушли рекламные модули – Adware. Они предназначены для показа рекламы на компьютерах пользователей, хотя с их помощью можно также собирать информацию о пользователе и его предпочтениях, чтобы показывать ему целевую рекламу. Часто Adware не выделяют в отдельную группу и относят к Spyware.
Это еще далеко не все существующие ware. Например, ранее для обозначения типов программ использовались термины Whiteware, Blackware и Greyware. Они обозначали соответственно полезное, вредное и то, что сегодня называют Spyware. Криминализация таких программ привела к появлению еще одного термина – Crimeware.
При распространении Spyware не используются вирусные технологии, они не умеют самостоятельно размножаться и заражать другие файлы, поэтому эпидемий Spyware не бывает. Их также нельзя отнести к червям и троянцам. Они выполняют только заложенную функцию: показывают рекламу, перенаправляют пользователя, звонят по определенному номеру и пр., не причиняя явного вреда. Однако это не делает их менее опасными, чем вирусы, так как некоторые из них способны нанести серьезный финансовый ущерб.
Результаты последних исследований неутешительны и лишний раз подтверждают, что с этими видами программ необходимо бороться: если в 2002 году насчитывалось около 40 семейств Adware, то за прошедшее время их количество возросло более чем в 10 раз – до 450 с 4 тыс. вариаций.
Для удобства не будем в дальнейшем разделять Spyware и Adware, что не противоречит некоторым классификациям.
Как Spyware попадают на компьютер пользователя
Самым простым способом является подключение такого модуля к определенной программе. В процессе работы пользователю показывается реклама, то есть вместо продажи программы разработчик зарабатывает на рекламе. Если пользователь хочет избавиться от рекламы, он должен заплатить за программу. Данный прием популярен при использовании Adware, и определить наличие такого модуля просто. Однако распознать шпионский модуль на порядок сложнее.
В лицензионном соглашении, выводимом при установке программы, может быть сказано, что программа содержит такой модуль. Однако подобные соглашения читают далеко не все пользователи. Кроме того, разработчик иногда «забывает» сказать, что в его программе есть подобный модуль. Это самый простой случай.
В последнее время наметилась коммерциализация этого сектора. По оценкам некоторых специалистов, работающих в области создания антивирусных программ, сегодня доход от индустрии создания вредоносных программ во много раз превосходит прибыль всех компаний, занимающихся разработкой антивирусных приложений. Производством программ такого рода занимаются профессионалы, получающие прибыль с каждого зараженного компьютера, поэтому для распространения Spyware могут использоваться уязвимости операционной системы и программ, почтовые клиенты, неправильные настройки, модернизированные версии нормальных утилит, которые предлагается загрузить с некоего ресурса, – все, о чем было рассказано в первой главе данной книги.
Примером минимального и примитивного Spyware являются Cookies. Они повсеместно используются в Интернете с различными целями, но могут применяться, чтобы получать уведомления о каждом посещенном пользователем сайте. Подробнее о Cookies будет рассказано в гл. 10 этой книги.
Рассадниками Spyware в Интернете принято считать порносайты, сайты, предлагающие крэки (crack – утилита для снятия ограничений программ), варез (warez – программное обеспечение со снятыми ограничениями или недоступные в обычном порядке), серийные номера, ссылки на ресурсы P2P-сетей, предназначенных для закачки программ, фильмов и музыки. Spyware часто содержат сайты звезд и знаменитостей, поэтому при посещении любого ресурса нужно быть внимательным, а лучше вообще не посещать подобные ресурсы.
Признаки заражения
Все Spyware и Adware (за редким исключением) не наносят явного вреда компьютеру и пользователю. Такое приложение может долго работать на компьютере, а пользователь не будет ничего подозревать.
Присутствие таких приложений не должно оставаться незамеченным. К сожалению, большинству изменений, которые произойдут с компьютером в случае заражения одним из видов Spyware, можно дать вполне логичное объяснение. Например, снижение скорости загрузки сайтов легко объяснить перегруженностью провайдера, а уменьшение скорости работы компьютера – не переустановленной вовремя операционной системой.
О нахождении на компьютере такой программы говорят следующие признаки:
• браузер показывает всплывающую рекламу, если вы долго находитесь на одной веб-странице и ничего не нажимаете или вообще не подключены к Интернету;
• при запуске Internet Explorer по умолчанию загружается не та домашняя страница, которую вы установили; иногда сменить ее невозможно;
• без причин запускается браузер, чаще всего – Internet Explorer; он загружает веб-страницу, которая не запрашивалась;
• в браузере появилась ненужная панель инструментов, которую не удается удалить;
• привычный поисковик стал выглядеть необычно, а результаты поиска выдают адреса, не соответствующие теме запроса;
• на компьютере наблюдается непонятная сетевая активность; интернет-трафик заметно увеличился;
• выдается запрос на установку сетевого соединения, при этом набираемый номер не совпадает с номером провайдера;
• в списке процессов появились неизвестные приложения; компьютер стал заметно тормозить, часто выдавать ошибки.
6.2. Борьба с потенциально опасными программами
Скорость распространения Spyware стремительно увеличивается. В последнем докладе компании по обеспечению безопасности McAfee говорится, что только три из ста пользователей Интернета могут определить, насколько безопасным является посещаемый ими ресурс, поэтому главным средством борьбы остается бдительность пользователей.
Для борьбы с потенциально опасными программами были разработаны специальные утилиты, которые помогут пользователю защититься от попадания такого приложения на компьютер, а если это произошло, то очистят систему от ненужных программ. Однако здесь есть несколько подводных камней. Например, до сих пор до конца не известно, что следует относить к Spyware, какие программы относить к потенциально опасным и какую опасность они представляют для пользователя, поэтому подходы к решению проблемы бывают диаметрально противоположными. Например, в «Антивирусе Касперского» определение потенциально опасных программ реализовано как дополнительная функция, которую легко отключить. Разработчики других антивирусов не видят разницы, и определение Spyware в них идет наравне с борьбой с вредоносными программами.
В список потенциально опасных программ может быть также занесена полезная утилита – только потому, что ее можно использовать в дурных целях. Например, свободный прокси-сервер 3proxy «Лаборатория Касперского» относит к Spyware, а многие другие антивирусы и специальные утилиты его не замечают, поэтому бороться с потенциально опасными программами нужно очень осторожно, так как в список подозрительных программ может попасть полезное приложение.
Бывает наоборот. Известны случаи, когда некая программа, предназначенная для борьбы со Spyware и верно обнаруживающая некий тип Adware, вдруг переставала его определять. Некоторые широко рекламируемые приложения на практике показывают низкую эффективность или сами являются Spyware.
Все описываемые в этой книге приложения – антивирусы, проактивные системы защиты и системы контроля целостности, брандмауэры и системы отражения атак – способны в той или иной мере противостоять заражению Spyware. Например, Kaspersky Internet Security, о котором было рассказано в главе 5, имеет встроенную функцию защиты от шпионского и рекламного программного обеспечения. Однако неоднозначность подхода приводит к тому, что антивирусы (именно программы для борьбы с вирусами, а не специализированные утилиты в комплексах вроде Kaspersky Internet Security) не совсем подходят для борьбы со Spyware в силу относительно низкой эффективности, да и не все производители вовремя добавляют сигнатуры Spyware в базы вирусов.
Для защиты компьютера лучше применять специализированные утилиты, разработчики которых постоянно отслеживают ситуацию и заносят информацию о новых Spyware в базу данных своего продукта. Однако количество потенциально опасных программ быстро растет, и уже были замечены недобросовестные действия разработчиков с записями в базе данных, поэтому сегодня рекомендуется использовать не одну, а несколько специальных программ.
Защита компьютера с помощью Ad-Aware SE Personal
Продукты компании Lavasoft (/), предназначенные для борьбы со Spyware, давно снискали заслуженную славу среди пользователей. Среди них есть бесплатная версия (для некоммерческого использования) – Ad-Adware SE Personal, которая будет описана далее. Доступны и коммерческие версии этого продукта Ad-Aware Professional, Ad-Aware Enterprise и Ad-Aware Plus. О некоторых отличиях этих версий от Ad-Adware SE Personal будет далее рассказано отдельно.
Получить дистрибутив программы можно на сайте проекта, зайдя на страницу . По умолчанию в программе используется английский интерфейс, поэтому стоит отдельно скачать русификатор: -Aware-SE-Language-Pack-Rus.zip.
На сайте проекта есть хорошее руководство пользователя по Ad-Aware Professional на русском языке (-Aware-AVSoft.zip). Все продукты Adware SE можно установить на компьютер с операционной системой Windows от 98 до XP.
Перед началом инсталляции необходимо удалить старую версию программы. Установку Adware SE Personal можно назвать стандартной. Для перехода к следующему этапу нажимайте Next, на втором шаге установите флажок I accept the licence agreement, подтверждая лицензионное соглашение. В последнем окне будет предложен выбор:
• Perform all full system scan now – полностью проверить систему на наличие Spyware;
• Update definition file now – обновить базы (требуется соединение с Интернетом);
• Open the help file now – показать файл документации (на английском языке).
Для выбора необходимых действий установите или снимите соответствующие флажки. Если вы владеете английским, можете выполнить все операции сейчас, в противном случае лучше заняться проверкой и обновлением после локализации интерфейса.
Перед запуском программы следует установить русификатор. Для этого распакуйте архив Ad-Aware-SE-Language-Pack-Rus.zip и запустите находящийся внутри исполняемый файл, дважды щелкнув на нем кнопкой мыши. После окна приветствия нажмите кнопку Далее – вы перейдете к окну, описывающему возможности пакета, а затем – к выбору компонентов (рис. 6.1).
Рис. 6.1. Выбор языковых модулей Ad-Aware SE
Пакет включает 12 языковых модулей, среди которых есть русский. Необходимости в установке всех нет, поэтому отключите лишние языки. Щелкните на стрелке рядом с названием языка и в появившемся меню выберите пункт Компонент будет полностью недоступен (см. рис. 6.1). Отключенный компонент помечается крестиком. Повторите эту операцию для каждого пункта, который необходимо отключить, а затем нажмите Далее.
После окончания установки программу можно запускать. Если в процессе установки не проводилось обновления, во время загрузки программы вы получите сообщение о его необходимости. При появлении главного окна программы нужно установить русский интерфейс. Для этого щелкните на значке с изображением шестеренки, в появившемся окне нажмите кнопку Interface, расположенную слева, – отобразится окно настройки интерфейса программы. Для выбора русского языка в раскрывающемся списке Language File выберите пункт Russian и нажмите Proceed.
Интерфейс программы локализован, можно приступать к работе.
Слева находятся кнопки, отвечающие за основные операции, а в окне справа выводится информация о выбранном в данный момент действии. Вверху расположена панель, кнопки на которой выполняют вспомогательные функции.
Перед началом каждого сканирования рекомендуется обновить базы: при нажатой кнопке Статус в области Статус программы отображается информация о версии файла обновлений. В нижней области выводится статус работы программы. Если все в порядке, здесь зеленым цветом будет выведено Статус ОК. В противном случае отображается краткая характеристика проблемы (рис. 6.2).
Рис. 6.2. Основное окно программы Ad-Adware
Чтобы обновить базы, следует щелкнуть на ссылке Проверить обновления в области статуса либо на кнопке Открыть окно Web-обновления (с изображением глобуса) на панели сверху. Появится окно обновления. Нажав кнопку Настройка, вы сможете указать параметры http-прокси (IP-адрес и номер порта), если используете его для выхода в Интернет. Установив флажок Бекап старых файлов, можно сохранить старые файлы на случай, если во время обновления возникнут проблемы. Для начала обновления необходимо нажать кнопку Соединение. Если будут доступны более новые версии файлов, появится сообщение с предложением скачать и установить их (рис. 6.3).
Рис. 6.3. Сообщение о наличии новых обновлений
Для начала загрузки необходимо нажать ОК, а чтобы отказаться от продолжения процесса обновления – Сброс. После этого начнется обновление, по окончании которого нажмите кнопку Финиш.
Совет
Файл обновлений называется defs.ref и находится в каталоге C:\Program Files\Lavasoft\Ad-Aware SE Personal. Если вы планируете переустанавливать систему или Ad-Aware SE, сохраните его, а затем скопируйте обратно. Таким же образом можно обновлять базы AdAware SE на нескольких компьютерах.
Для сканирования компьютера в главном окне программы нажмите кнопку
Сканировать. Затем необходимо выбрать режим сканирования (рис. 6.4).
Рис. 6.4. Окно выбора режима сканирования
Предлагается несколько режимов сканирования.
• Выполнить smart-сканирование – самый быстрый способ проверки системы, поэтому его рекомендуется проводить раз в день. Будут проверены оперативная память, записи системного реестра, принятые Cookies, записи файла hosts и Избранное. Архивы при smart-сканировании не проверяются.
• Полное сканирование системы – самый полный режим. Проверяются файлы, находящиеся на всех разделах жесткого диска, и архивы. Такое сканирование рекомендуется выполнять не реже раза в месяц.
• Выборочное сканирование – в этом режиме можно указать программе папки и разделы, которые необходимо проверить. Щелкнув на ссылке Настройки, расположенной рядом с кнопкой, вы сможете не только указать проверяемые разделы и каталоги, но и выставить другие параметры поиска.
• Сканировать раздел на ADS – файлы, которые расположены на разделах, отформатированных в файловой системе NTFS, могут иметь дополнительный элемент – альтернативные потоки данных, в которые может быть записана любая информация. Их можно проверить, выбрав этот пункт.
Установка флажка Искать значения с маленьким риском позволит проверить списки последних используемых элементов, например программ и документов. Выберите нужный режим сканирования и нажмите Далее. В любой момент можно остановить проверку, нажав кнопку Сброс. Пользователь будет получать информацию о ходе процесса сканирования, а после окончания проверки отобразится результирующая информация – общее количество сканированных объектов, количество найденных опасных объектов в целом и по категориям (процессы, модули, значения реестра, файлы) (рис. 6.5).
Рис. 6.5. Просмотр результатов сканирования
Нажатие кнопки Показать лог позволяет просмотреть более подробную информацию о результатах проверки.
На вкладке Резюме проверки выводятся найденные объекты по категориям. Щелчок на знаке «+» рядом с группой позволит просмотреть критерий опасности ТАС. Если выбран режим сканирования малозначительных MRU-элементов, отдельно будет выведен их список. В области справа показан отчет о сканировании, полный отчет находится на вкладке Сканлог. Найденные объекты отобразятся на вкладках Опасные объекты и Незначительное. На вкладке Опасные объекты находятся найденные объекты, которые признаны опасными и требуют удаления, – отображается информация о типе каждого объекта, имени создателя или названии, категории, месторасположении и краткий комментарий.
Дополнительные параметры доступны после щелчка правой кнопкой мыши на любом месте поля. Выбрав пункт Игнорировать выбранное, вы можете поместить объект в список игнорирования и при последующем сканировании Ad-Aware он не будет выводиться в списке. Двойной щелчок на любом объекте вызовет подробную информацию (рис. 6.6). В этом окне обратите внимание на параметры Уровень риска и Рейтинг ТАС. Рейтинг ТАС – это диаграмма оценки угрозы, которая изменяется в пределах от 0 (неопасно) до 10 (наиболее опасно).
Рис. 6.6. Вывод подробной информации об опасном объекте
Щелчок на гиперссылке Показать ТАС для «Объект» (см. рис. 6.6 (на нем это Tracking Cookie)) приведет на веб-сайт проекта с разъяснительной информацией. Установка флажка рядом с названием объекта активизирует кнопку Карантин, нажатие которой поместит объект в файл карантина (при этом потребуется задать его новое имя). Объекты, помещенные в карантин, архивируются и шифруются, но их можно в любое время восстановить, воспользовавшись встроенным в программу менеджером карантина. Для удаления отмеченных объектов нажмите кнопку Далее: появится диалоговое окно с требованием подтвердить удаление. Согласитесь нажатием ОК. Файлы не сразу удаляются с диска, они могут помещаться в автокарантин, откуда их также можно восстановить. Для включения автокарантина вызовите окно настройки программы и на вкладке Главная установите флажок Автокарантин до удаления.
Просмотреть объекты, находящиеся в карантине, можно, нажав кнопку с изображением замка на панели инструментов либо щелкнув на ссылке Открыть изолятор в окне статуса программы. В окне Изолированные объекты будут показаны все объекты, находящиеся на карантине. Любой объект можно восстановить или удалить, для чего необходимо выбрать его и нажать соответствующую кнопку. Воспользовавшись настройками, можно тонко настроить работу Ad-Aware SE.
Режим защиты системы, применяемый в Ad-Aware SE Personal, напоминает сканер антивируса, запускаемый пользователем по мере необходимости. Как уже говорилось при знакомстве с принципом работы антивируса, сканер не может уберечь от заражения. Для антивируса это критично, но для борьбы со Spyware аккуратной работы и своевременных проверок достаточно.
Если вас не устраивает подобный принцип работы, приобретите версию Ad-Aware SE Plus или Professional. Их отличием является наличие монитора реального времени Ad-Watch, который в реальном времени защищает систему от попыток внедрения Spyware. Однако, возможно, программа, описанная в следующем разделе, подойдет вам больше.
Монитор SpywareBlaster
В отличие от Ad-Aware SE версии Personal, SpywareBlaster – это не сканер, а монитор, обеспечивающий защиту в реальном времени. С помощью SpywareBlaster можно защитить веб-браузеры Internet Explorer (версии 6.0 и выше) и Mozilla Firefox, а также запретить браузеру открывать неблагонадежные сайты, с которых на компьютер могут попасть виртуальные шпионы. При попытке открытия такой сайт будет заблокирован. SpywareBlaster не поддерживает другие веб-браузеры, поэтому пользователям Opera придется искать другую программу. SpywareBlaster позволяет в автоматическом режиме защитить браузер от Cookies, создаваемых Spyware и счетчиками, автоматических установок программ на базе ActiveX, дозвона на порносайты и других опасностей, о которых говорилось в предыдущих разделах. С его помощью можно также заблокировать смену стартовой страницы в свойствах браузера и отключить показ на веб-страницах flash-содержимого, которое часто используется в неблаговидных целях.
Для персонального использования и образовательных целей SpywareBlaster распространяется бесплатно. Дистрибутив программы можно скачать с сайта производителя . Ее установка стандартна, после окончания процесса копирования файлов можно установить флажок Run SpywareBlaster, чтобы сразу запустить программу. После запуска на экране появляется краткое руководство по использованию программы – Getting Started, с помощью которого можно вкратце ознакомиться с возможностями программы.
Основное окно SpywareBlaster (рис. 6.7) состоит из четырех вкладок: Protection, System Snapshot, Tools и Updates, на которых выбираются основные настройки программы. После выбора вкладки сверху будет доступна специфическая для каждой вкладки панель параметров.
Рис. 6.7. Основное окно настроек SpywareBlaster
Параметры защиты системы выбираются на вкладке Protection. На панели настроек находятся четыре кнопки. Нажав Status, в области SpywareBlaster Protection, вы сможете получить информацию о состоянии защиты, версии базы данных и количестве записей. Если компонент защиты отключен, он подсвечивается красным. Чтобы его включить, необходимо щелкнуть на ссылке Click here to enable protection, расположенной справа, или нажать кнопку меню, соответствующую этому компоненту. Чтобы включить защиту для всех компонентов сразу, щелкните на ссылке Enable All Protection в области Quick Tasks. Аналогично для одновременного отключения защиты всех компонентов нажмите Disable All Protection. База данных SpywareBlaster также требует периодического обновления – для него воспользуйтесь ссылкой Download Latest Protection Updates.
Рассмотрим настройку SpywareBlaster на примере Internet Explorer. Этот браузер располагает большими возможностями по обеспечению безопасного серфинга, однако для этого требуется его правильно настроить, поэтому применение подобной программы будет нелишним. Нажмите кнопку Internet Explorer – отобразится окно настройки параметров защиты (рис. 6.8).
Рис. 6.8. Окно настройки параметров защиты Internet Explorer
Здесь есть две области. В области Internet Explorer Protection активизируется защита:
• Prevent the installations of the Active-X based spyware/potentially unwanted software – блокировка установок Spyware, Adware, программ дозвона и другого потенциально опасного программного обеспечения, устанавливаемого с помощью компонентов Active-X;
• Prevent ad/tracking cookies – защита от Cookies, с помощью которых можно отслеживать действия и, создав профиль предпочтений, уникально идентифицировать пользователя в Интернете.
Программа позволяет выбрать, от каких именно шпионов пользователь желает обезопасить систему. Для этого в области Customize the Block List имеется список всех известных на данный момент модулей.
Максимальная защита обеспечивается при активизации всех модулей списка. Самостоятельно добавлять и удалять модули нельзя, но в программе реализованы поиск и выдача информации на английском языке о каждом компоненте. Так, для поиска данных о каком-либо объекте, найденном SpywareBlaster, необходимо щелкнуть правой кнопкой мыши на его названии, выбрать в контекстном меню пункт Find и ввести искомое слово, а для повторного поиска с теми же параметрами – пункт Find Next. После отображения результатов поиска для получения информации о выбранном компоненте выберите More Info on Items. При необходимости отдельные модули можно добавлять в Ignore List, в этом случае при обнаружении объекта SpywareBlaster проигнорирует и не будет блокировать его. Добавить модуль можно также из контекстного меню, выполнив команду Ignore List → Add Item to Ignore List. Просмотреть модули, включенные в этот список, можно, выполнив команду Ignore List → View Ignore List. Порядок настройки на вкладках, вызываемых нажатием кнопок Restricted Sites и Mozilla/Firefox, аналогичен.
Если защита не помогла, и вредоносное программное обеспечение все-таки проникло в систему, в SpywareBlaster предусмотрена возможность создания снимка системных настроек, чтобы быстро восстановить их в первоначальном варианте. Это можно сделать на вкладке System Snapshot. Для создания снимка системы установите переключатель в положение Create new System Snapshot и нажмите кнопку Go. В следующем окне введите имя файла. Если установить флажок Append date + time to end of snapshot name, к имени файла будет добавлена дата и время его создания, что удобно, так как позволяет быстрее ориентироваться при восстановлении. Для восстановления настроек нажмите Restored system to Saved Snapshot Point, в следующем окне щелкните на одном из сохраненных снимков и нажмите Next. SpywareBlaster проанализирует и сравнит систему и сохраненные настройки. Если будут найдены отличия, они появятся на экране. Пользователю нужно только указать параметры, значения которых он хочет восстановить.
На вкладке Tools содержатся инструменты, обеспечивающие дополнительную функциональность. Например, щелкнув на Browser Pages, для веб-браузеров Internet Explorer и Mozilla Firefox можно быстро заменить домашнюю страницу, загружаемую по умолчанию. Здесь есть несколько предустановленных страниц, достаточно выбрать любую и нажать кнопку Change. Чтобы просмотреть информацию о выбранном параметре, нажмите кнопку More Info On Item.
Щелкнув на Hosts Safe, пользователь может создать резервную копию hosts-файла. Нажмите кнопку Create New Backup, и SpywareBlaster создаст зашифрованную копию hosts-файла. Для восстановления выберите одну из сохраненных копий и нажмите Restore Saved Backup.
Нажав Misc. IE Settings, вы получите возможность отредактировать некоторые параметры, недоступные в меню настроек Internet Explorer. Чтобы в свойствах обозревателя нельзя было изменить домашнюю страницу, выберите Disable the IE Home Page Page setting area in the Internet Tools Control Panel и нажмите Apply, чтобы изменение вступило в силу. В области IE Windows Title Text задается заголовок, который будет выводиться в верхней части окна Internet Explorer.
Кнопка Flash Killer предоставляет параметр Disable and block Macromedia Flash in Internet Explorer. Установив этот флажок, вы сможете отключить flash-анимацию при показе веб-страниц.
В Protection пользователю не разрешено добавлять свои значения; это можно сделать, нажав кнопку Custom Blocking. Если с помощью другой программы вы обнаружите подозрительный объект, перейдите сюда и нажмите Add Item, а затем введите имя объекта и CLSID-идентификатор, который можно взять, например, из реестра.
Базу данных программы необходимо регулярно обновлять. Однако, если вы хотите, чтобы это происходило автоматически, необходимо заплатить. Для обновления вручную перейдите на вкладку Updates и нажмите кнопку Check for Updates.
SpywareBlaster позволяет защитить компьютер пользователя от большинства видов Spyware, но не от всех. Здесь также не хватает сканера, поэтому данную программу идеально использовать, например, вместе с Ad-Aware SE.
Найти и уничтожить: Spybot – Search & Destroy
Spybot – Search & Destroy – еще одна бесплатная и полезная для домашнего пользователя программа, позволяющая не только найти и удалить проникшие в систему разнообразные типы Spyware-компонентов, но и препятствовать инфицированию. Adware-программы при удалении модуля теряют работоспособность. Spybot – Search & Destroy может подменить их пустыми модулями, которые позволят программе работать дальше, но лишат ее возможности собирать информацию о пользователе. Программу можно свободно скачать с домашней страницы проекта: -networking.org/ru/index.html.
Установка программы стандартна: запускаете исполняемый файл и далее следуете указаниям мастера. На первом шаге вы можете выбрать язык установки: этот же язык будет затем использоваться в интерфейсе программы. Интерфейс программы переведен на 40 языков, среди которых есть и русский, поэтому русскоязычный пользователь будет себя чувствовать комфортно. В большинстве случаев достаточно оставить предлагаемое по умолчанию значение и последовательно пройти все шаги мастера, нажимая Далее. На этапе Выбор компонентов для большинства случаев достаточно указать Full installation. Чтобы программа в процессе установки обновила модули, установите флажок Download updates immediately.
Еще одна особенность Spybot – Search & Destroy, отличающая ее от других программ, – адаптация интерфейса для пользователей со слабым зрением. Этот режим можно активизировать позже, используя меню, а можно на этапе установки, установив флажок Icons for starting blind user mode. На этапе выбора дополнительных задач в области Permanent Protection активизируется защита веб-браузера Internet Explorer – Use Internet Explorer Protection (SDHelper) и защита системных настроек – Use system setting protection (TeaTimer). На завершающем этапе работы мастера установка флажков Запустить SpybotSD.exe и Запустить TeaTimer.exe включит защиту системы.
Появление нового значка в области уведомлений свидетельствует о нормальном окончании установки и включении защиты компьютера от Spyware.
Запуск программы и первая проверка
Перед началом работы программы появится окно с предупреждением, что, если вы удалите Spyware-компонент с помощью Spybot – Search & Destroy, программа, использующая его, возможно, не будет больше работать.
Это окно будет появляться каждый раз при загрузке Spybot – Search & Destroy. Чтобы отключить его, установите флажок Больше не показывать это сообщение.
При первом запуске активизируется мастер, помогающий пользователю выполнить определенные действия. Некоторые шаги мастера можно пропустить, нажав кнопку Дальше, и вернуться к ним позже из основного окна программы. На первом шаге мастер предлагает Создать резервную копию реестра, чтобы восстановить его в случае уничтожения вредоносными программами. Следующий шаг – обновление базы программы. Чтобы запустить обновление из окна мастера, необходимо нажать кнопку Поиск обновлений, – мастер соединится через Интернет с сервером обновлений и покажет список доступных обновлений. Для загрузки всех обновлений нажмите кнопку Загрузить все доступные обновления. После загрузки обновлений мастер предложит Иммунизировать систему.
Основное окно настройки параметров работы Spybot – Search & Destroy разбито на две части (рис. 6.9).
Рис. 6.9. Основное окно программы в расширенном режиме
Слева расположены категории и кнопки вызова основных функций программы. Количество закладок зависит от установленного режима настроек. Справа находится рабочая область, в которой выводится информация и на которой осуществляется доступ к рабочим функциям программы.
После установки программа запускается в режиме По умолчанию, который ориентирован на большинство пользователей. Если вы хотите более тонко контролировать работу системы защиты, выберите режим Расширенный. Чтобы сменить режим, воспользуйтесь меню Режим. Для смены языка интерфейса выберите необходимый в меню Язык.
В каждом окне доступна короткая справка, в которой кратко рассказано о назначении параметра. Для ее вывода щелкните на ссылке Показать больше информации. Если вы хотите убрать справку, чтобы увеличить полезную площадь окна, щелкните на Убрать информацию.
Если вы не воспользовались услугами мастера и не установили обновления, нужно сделать это сейчас, иначе программа просто откажется сканировать систему. Для этого выберите категорию Spybot-S&D, нажмите кнопку Обновление, затем кнопку Поиск обновлений. Программа соединится с сервером и проверит наличие обновлений и зеркал для загрузки. Список обновлений отобразится внизу окна (рис. 6.10).
Рис. 6.10. Загрузка обновлений в программе Spybot – Search & Destroy
В списке указано название каждого обновления, краткая информация, включая размер загружаемого файла, и дата обновления. Если навести указатель мыши на определенное поле и задержать его на некоторое время, появится всплывающее окно, в котором можно дополнительно узнать прямую ссылку на файл обновлений и место, куда он должен быть скопирован, чтобы Spybot – Search & Destroy мог его увидеть. Однако лучше доверить установку обновлений Spybot – Search & Destroy.
Не все обновления касаются обнаружения новых видов Spyware. Анонсируются также обновления, касающиеся интерфейса программы, файла помощи и выводимых сообщений. Обязательно отметьте все пункты, в описании которых стоит Advanced detection library, Detection rules, Detection support library, Immunization Database. Остальные выбирайте на свое усмотрение. Автоматически выбрать все основные обновления можно из контекстного меню, в котором имеется пункт Выбрать важные обновления. После выбора необходимых обновлений нажмите кнопку Загрузить обновления.
В появившемся окне будет отображаться информация о ходе обновления, а выбранные файлы будут помечаться флажками как установленные. Если загрузка происходит медленно, можно выбрать другой сервер, воспользовавшись раскрывающимся списком справа от кнопки Поиск обновлений. После окончания установки обновлений Spybot – Search & Destroy перезапустится самостоятельно. Обновлять базу программы необходимо хотя бы раз в неделю, тогда можно быть уверенным, что Spybot – Search & Destroy будет надежно защищать компьютер от новых видов Spyware.
Для запуска сканера, который проверит систему на наличие Spyware, необходимо нажать кнопку Найти и Уничтожить, а затем – Начать проверку. Программа начнет проверку системной области, что может занять продолжительное время. По окончании проверки отобразится список всех подозрительных объектов, найденных в системе (рис. 6.11).
Рис. 6.11. Проверка системы на наличие Spyware
Список сгруппирован по названиям или разработчикам Spyware-компонента. Щелчок на значке «+» возле имени раскроет список и покажет все найденные элементы. Справа отобразится более подробная информация, которая включает название фирмы или разработчика, имя продукта, краткое описание угрозы, возможно, адрес в Интернете и информацию о конфиденциальности.
Элемент может быть обозначен одним из двух цветов.
• Красный – отмечаются Spyware-компоненты, которые рекомендуется удалить.
• Зеленый – сохраненная ссылка на файл, набранная в строке веб-браузера при посещении какого-либо веб-ресурса. Впоследствии пользователю не нужно полностью вспоминать адрес: при постепенном наборе адреса браузер будет выдавать подсказки. Однако тогда любой имеющий доступ к компьютеру сможет определить, чем занимается пользователь. Решайте сами, удалять ли такие объекты.
Щелкнув на ссылке, вы сможете просмотреть, какой сайт разместил Cookies, и решить, оставлять ли его. Чтобы удалить компонент, необходимо установить соответствующий флажок и нажать кнопку Устранить отмеченные проблемы.
Контекстное меню предоставляет несколько больше возможностей. Так, чтобы определить, чему принадлежит найденный объект, необходимо выбрать в нем пункт Больше деталей. Выбрав вариант Перейти к месту, вы сможете открыть ссылку на сайт, которому принадлежат Cookies, а выбрав Открыть приложение пользователя – запустить приложение, которому принадлежит компонент Spyware. Если вы решаете оставить найденный объект в системе, выберите Исключить это опознавание из будущих поисков или Исключить этот продукт из будущих поисков – Spybot-S&D будет игнорировать его. Выбрав в контекстном меню Сохранить весь отчет в файл, можно сохранить в файл отчет о сканировании для последующего подробного анализа.
При настройках по умолчанию Spybot – Search & Destroy сохраняет все удаленные файлы с возможностью отката. Если после удаления Spyware-компонента нужная программа перестала работать, нажав кнопку Восстановить, вы сможете вернуть модуль Spyware на место. Естественно, вы должны осознавать возможный результат такого шага.
Начиная с версии 1.2, Spybot – Search & Destroy позволяет защитить (иммунизировать) систему от некоторых видов Spyware. В настоящее время предлагается три вида иммунитета:
• Постоянный иммунитет Internet Explorer – позволяет отключить некоторые параметры настройки Internet Explorer, чтобы блокировать установку известных видов Spyware, которые используют эти параметры;
• Постоянный блокиратор вредных закачек для Internet Explorer – второй слой защиты для Internet Explorer, обеспечивающий блокировку программ установки, которые используют ActiveX;
• Постоянный иммунитет для Opera – показывает все профили веб-браузера Opera и подключаемые плагины, которые в базе Spybot – Search & Destroy записаны как относящиеся к Spyware.
Для иммунизации системы нажмите кнопку Иммунизация слева на панели. Справа отобразится текущий статус иммунизации. Чтобы активировать иммунизацию, нажмите кнопку Иммунизация и дождитесь сообщения, что иммунизация компьютера завершена. Чтобы вредные закачки блокировались, нужно установить флажок Включить постоянную блокировку плохих адресов Обозревателя интернет.
Примечание
Для блокировки вредоносных страниц Spybot – Search & Destroy использует файл hosts, изменяя настройки таким образом, чтобы вместо удаленного адреса браузер обращался к локальному, то есть вместо такой страницы пользователь получает ошибку 404 (запрашиваемая страница не найдена).
Из раскрывающегося списка вы можете выбрать действия, которые должна выполнять программа при посещении небезопасных страниц:
• Блокировать все вредоносные страницы без предупреждения – все вредоносные страницы будут автоматически заблокированы, предупреждение выводиться не будет;
• Показать диалог при блокировке – при посещении страницы, содержащей вредоносный код, будет отображаться диалоговое окно, с помощью которого вы сможете продолжить работу или заблокировать страницу; при установке флажка Запомнить это решение во время повторного посещения страницы будет использован ответ пользователя;
• Запросить подтверждение блокировки – при посещении вредоносной страницы вы будете предупреждены о том, что страница будет заблокирована.
Если вы пользуетесь веб-браузером Opera, то для его иммунизации необходимо установить флажок профиля в области Постоянный иммунитет для Opera.
В большинстве случаев для защиты системы достаточно настроек и инструментов, показанных в режиме По умолчанию. Выбрав режим Расширенный, вы получите еще три группы параметров, с помощью которых сможете настроить защиту более тонко. Рассмотрим некоторые параметры.
Настройки
Начнем с категории Настройки, в которой можно задать дополнительные параметры работы Spybot – Search & Destroy.
По умолчанию сканер и монитор отслеживает все известные категории Spyware. Щелкнув на кнопке Набор данных, вы можете самостоятельно скорректировать список проверяемых объектов. Здесь отображаются названия файлов, в которых хранятся правила и краткое описание. Воспользовавшись пунктами контекстного меню Поиск только шпионов и Поиск только следов употребления, можно отобрать правила, принадлежащие этим категориям. Свой выбор можно сохранить как пользовательский.
Нажав кнопку Настройки, вы получите возможность увидеть большее количество настроек для Spybot – Search & Destroy. Здесь есть параметры, установка которых существенно упростит работу с программой. За автоматическое сохранение настроек отвечает флажок Сохранять настройки при выходе. Чтобы при удалении шпионов и системных проблемах сохранялись резервные копии, установите флажки Создавать резервные копии при удалении шпионов, Создавать резервные копии удаленных следов употребления и Создавать резервные копии устраненных системных проблем. Если вы работаете на компьютере под управлением операционной системы Windows XP, можно создать точки восстановления. Для этого установите два флажка, названия которых начинаются с Создать точку восстановления системы. Если после удаления шпиона или рекламного модуля система или программа работает стабильно, то старые точки восстановления следует удалять. Установив флажок Возраст восстановления и указав с помощью ползунка количество дней, вы можете поручить Spybot – Search & Destroy самостоятельно удалять точки восстановления через указанное количество дней.
Раздел параметров Автоматизация позволяет автоматизировать некоторые процессы – запуск программы при загрузке системы, проверку компьютера после загрузки и иммунизацию при запуске. Флажки подраздела Обновление через Интернет позволяют упростить процесс обновления модулей программы. Так, чтобы программа самостоятельно проверяла обновления, установите флажок Поиск новых версий при старте программы, а чтобы сразу загружала их – Сразу загружать более новые файлы. Если вы хотите самостоятельно руководить процессом обновления, установите флажок Напоминать при запуске программы о поиске обновлений, и вы не забудете о том, что необходимо периодически обновлять модули. Настроить соединение через прокси-сервер можно, установив флажок Использовать прокси при соединении с сервером обновлений и указав в появившемся окне нужные параметры.
По умолчанию сканируется только системная область компьютера, что позволяет найти Spyware-компоненты, проникшие в систему. Новые угрозы будут остановлены монитором, который заблокирует подозрительные процессы. Для загружаемых на компьютер файлов имеет смысл создать отдельный каталог и добавить его в список объектов для проверки. В этом случае Spyware будет обнаружен до того, как пользователь его активизирует. Чтобы указать такой каталог, следует нажать кнопку Каталоги. После этого щелкните правой кнопкой мыши в поле Каталог загрузки и в контекстном меню выберите пункт Добавить каталог к этому списку. Проследите, чтобы флажок Проверять также подкаталоги был установлен, иначе вложенные каталоги проверяться не будут.
Сканер будет проверять все файлы вне зависимости от их типа. Щелкнув на кнопке Исключения файловых расширений, можно указать типы файлов, которые будут пропускаться при проверке. В окне отобразятся все типы файлов, зарегистрированные на момент запуска программы.
Проверку системы с помощью Spybot – Search & Destroy можно запустить, используя Планировщик заданий Windows. Для настройки такой проверки следует перейти в раздел Планировщик и нажать кнопку Добавить. Далее необходимо указать параметры задания. Нажмите Редактор и в появившемся окне введите параметры. Так, на вкладке Задание в поле От имени можно указать пользователя, от имени которого будет выполняться программа, после чего, нажав кнопку Задать пароль, ввести пароль этого пользователя. Это может понадобиться, чтобы не пропустить задание, когда компьютером пользуется несколько человек с разными учетными записями, или чтобы задание выполнялось с администраторскими привилегиями. Далее перейдите на вкладку Расписание, нажмите кнопку Создать и заполните поля, указывая периодичность и время выполнения задания. После ввода всех параметров нажмите Применить. В окне Планировщик, установив одноименные флажки, можно дополнительно указать автоматическое решение обнаруженных проблем и закрытие программы по окончании работы.
Нажатием кнопок Исключения шпионов и Куки-Исключения можно указать, какие программы и файлы Cookies не будут относиться к подозрительным (установите флажок в строке с соответствующим значением).
В разделе Пропуск системных внутренностей находятся устройства, исключенные из работы системы. В таблице отображаются имя файла и причина исключения, например неправильный путь. Чтобы устройство заработало, необходимо удалить его из списка, воспользовавшись контекстным меню.
Инструменты
Spybot S & D включает большое количество полезных инструментов, которые позволяют опытным пользователям выяснить все о вредоносном продукте, очистить и оптимизировать всю систему. Следует отметить, что их неправильное использование может привести к негативным последствиям.
Для удобства убраны некоторые редко используемые инструменты, поэтому по умолчанию отображаются не все значки. Выбрав на панели в левой части окна категорию Инструменты, вы увидите таблицу, состоящую из двух полей: Инструмент и Описание (рис. 6.12). Внимательно прочитайте, для чего нужен определенный инструмент. Для его активизации нужно установить соответствующий флажок, после чего на панель слева добавится значок выбранного инструмента. Чтобы удалить значок инструмента, снимите соответствующий флажок.
Рис. 6.12. Категория Инструменты
Так, нажав кнопку Резидент, вы сможете просмотреть статус работы двух модулей – SDHelper и TeaTimer, которые постоянно находятся в оперативной памяти, защищая компьютер от шпионских модулей. При необходимости можно отключить модуль, сняв соответствующий флажок в поле Статус защиты Резидента.
Выбрав ActiveX, можно просмотреть и при необходимости удалить установленные приложения ActiveX. Объекты помечаются тремя цветами:
• зеленый – приложения имеют сертификат Spybot как известные или безопасные для запуска;
• черный – информация о приложении отсутствует в базе данных, поэтому следует быть осторожным и самостоятельно проанализировать необходимость его наличия в системе;
• красный – приложения небезопасны, их рекомендуется удалить.
Как и в SpywareBlaster, в Spybot – Search & Destroy можно быстро сменить домашнюю страницу веб-браузера. Нажав кнопку Обозреватель интернет страниц, вы найдете несколько готовых значений. Достаточно выбрать любое из списка и нажать кнопку Изменить, расположенную вверху окна. В появившемся диалоге необходимо подтвердить выбор нажатием ОК.
С помощью инструмента IE утилиты устанавливаются блокировки. Так, для защиты от изменения файла hosts необходимо установить флажок Закрыть хост файл, изменив атрибуты – только для чтения. Защита от хакеров. Здесь же с помощью соответствующих флажков можно блокировать настройки стартовой страницы и Панели управления из браузера. В области внизу страницы можно указать свое имя для работы в браузере.
Нажав кнопку Хост-файл, вы сможете просмотреть и удалить ненужные записи файла hosts. Щелкнув на Восстановить резервные копии, можно восстановить файл из резервных копий, которые создает Spybot – Search & Destroy. В базе данных утилиты имеются записи о некоторых узлах, используемых для распространения спама или слежения за пользователем. Нажав кнопку Добавить хост-список Spybot S&D, вы сможете заблокировать обращения к этим узлам. Запросы будут перенаправляться к локальному узлу и теряться.
У программы есть еще одна интересная возможность. Нажав кнопку Отказ от абонента, вы увидите список адресов, предназначенных для отказа от рассылки. Если вы получаете спам или Cookies от компаний, перечисленных в этом списке, щелкните на ссылке в столбце Адрес: в зависимости от того, будет ли это адрес электронной почты или ссылка на интернет-страницу, откроется почтовый клиент или веб-браузер, и вы сможете отписаться от рассылки. Ни в коем случае не используйте эту возможность в качестве превентивных мер – вы только добавите свой адрес в список рассылки.
Щелкнув на кнопке Список процессов, вы сможете просмотреть информацию обо всех процессах, запущенных в системе: имя файла, разработчик, загруженные модули, открытые сетевые порты и пр. На основании полученной информации можно принять решение о легальности запущенной программы.
Нажав кнопку Автозагрузка, вы увидите список программ, которые загружаются вместе с операционной системой (рис. 6.13). В нем доступна информация о значении параметра и командной строке. Полужирным показаны записи, измененные после последнего контроля, на которые следует обратить особое внимание. Если запись о программе имеется в базе данных Spybot – Search & Destroy, в поле Статус базы данных отобразится подсказка о необходимости использования данной программы. Сняв флажок, соответствующий программе, вы можете отключить ее автозагрузку. Нажав кнопку Изменить, можно ввести другое значение строки запуска. Отсюда же можно экспортировать список в текстовый файл для его дальнейшего анализа.
Рис. 6.13. Контроль автозагрузки с Spybot S&D
В Spybot – Search & Destroy есть также инструмент, позволяющий автоматически просканировать некоторые записи реестра на предмет неправильных или несуществующих путей. Нажмите кнопку Внутренняя система, затем – Проверить и для корректировки неправильных записей – кнопку Исправить выбранные проблемы. Появится окно, в котором можно указать другое месторасположение файла или удалить запись реестра.
В Spybot – Search & Destroy имеет полезный инструмент, позволяющий надежно удалить файл без возможности восстановления. В процессе удаления файлы разделяются на несколько фрагментов, чем разрушается их структура. Для этого следует нажать кнопку Удаление файлов, после чего перетащить в окно программы файл, который вы хотите удалить. Как вариант, можно воспользоваться контекстным меню, выбрав в нем пункт Добавить файл к этому списку, а затем указав файл с помощью файлового менеджера. Специальные инструменты, предназначенные для этого, будут рассмотрены в гл. 11 (на диске).
Глава 7 Опасности, подстерегающие пользователя в Интернете
Мошенничество в Интернете
Фишинг и фарминг
Некоторые правила поведения пользователя в Интернете
В последнее время Интернет стал неотъемлемой частью нашей жизни. С его помощью мы получаем необходимую информацию, общаемся (для этого предназначена электронная почта, чаты, форумы), играем. В моду вошел поиск работы с помощью специальных поисковых сервисов, все более популярной становится удаленная работа, при которой деньги можно зарабатывать дома. В то же время Сеть привлекла внимание мошенников, желающих подзаработать на доверчивости людей. Кроме того, общение в Интернете стало приводить к утечке личной или конфиденциальной информации, о чем и будет рассказано в данной главе.
7.1. Мошенничество в Интернете
В Интернете для мошенничества есть все: анонимность, позволяющая не видеть партнера при заключении договора, возможность скрыть контактную информацию и, главное, множество доверчивых и малоподготовленных пользователей. Еще не придуманы технические средства, которые могут определить, не с мошенником ли вы имеете дело. Исследователи, изучающие эволюцию распознавательных механизмов, предполагают, что мы учимся подозревать обман и становимся осторожными, только когда существует заметное расхождение между ожидаемым и происходящим. При физическом контакте обнаружить мошенника проще. В виртуальной среде инстинкты самозащиты и опыт становятся бесполезными, поэтому здесь необходима предельная осторожность.
В «Википедии» мошенничество определено как «преступление, заключающееся в завладении чужим имуществом или правом на него, а также в получении иных благ путем обмана, злоупотребления доверием и т. п.». По законодательству многих стран мошенничество является уголовно наказуемым деянием.
Если вы встретили любое заманчивое предложение, будь то работа, покупка товара по заманчивой цене или получение услуг, позволяющих сэкономить, особенно когда письмо или сообщение исходит неизвестно от кого и непонятно, как к вам попало (в большинстве случаев это происходит якобы случайно), – помните, что бесплатный сыр бывает только в мышеловке.
Большинство зафиксированных афер приходится на махинации при проведении электронных аукционов и невыполнение обязательств по доставке товаров, заказанных в Интернете. Есть также другие способы выманивания денег. В ход идут человеческие слабости: жадность, легковерие, жалость, стремление к легкой наживе, желание быть первым, выделиться и др. В виртуальном пространстве нашли свое применение все приемы, отточенные мошенниками на протяжении многих веков. Более того, у них здесь открылось второе дыхание. Примером тому являются «нигерийские» письма.
«Нигерийские» письма
Особое распространение этот способ выманивания денег получил в Нигерии еще до появления Интернета: сначала использовалась обычная почта, но именно Интернет позволил методу стать массовым. Суть его проста. От имени президента, жены бывшего диктатора, крупного чиновника, а иногда и простого работника банка приходит письмо (как правило, на английском языке) с предложением оказать помощь в снятии денег с банковского счета, получении наследства или переводе денег за границу.
Примечание
Примеры нигерийских писем можно найти по адресу #nigerian419.
Ранее для рассылки таких писем использовалась обычная почта, теперь – электронная. Речь в них идет о суммах в несколько миллионов долларов, определенный процент которых в случае успеха предлагается жертве. Вся якобы проблема заключается в том, что противоположной стороне для осуществления операции требуется некоторая сумма денег, необходимая на подкуп чиновника, выплату процента и пр. Если жертва отвечает, ему высылают несколько документов с печатями. Причем часто на настоящих бланках и с настоящими печатями, так как в афере участвуют правительственные организации. Проверка может подтвердить легенду: у мошенников все отлично организовано, есть офис, факс и нужные люди. Если деньги высылаются, естественно, у противоположной стороны ситуация резко «ухудшается», и она запрашивает новую сумму на дополнительные расходы.
Часто в ходе вымогательства мошенники используют психологическое давление, уверяя, что противоположная сторона, чтобы заплатить сборы, продала все имущество и заложила дом; могут быть указаны жесткие временные рамки, присутствовать намек на преследование и наличие других заинтересованных лиц. Стоит ли говорить, что денег жертва не увидит? В некоторых случаях ее приглашают полулегально (без визы) посетить страну, например, для тайной встречи с высокопоставленным чиновником. Там несчастного похищают или арестовывают за незаконное прибытие в страну и вымогают деньги за освобождение. В самых тяжелых случаях жертву убивают.
О «нигерийских» письмах написано немало, и механизм мошенничества детально объяснен, однако массовость рассылки приводит к тому, что находятся новые жертвы, которые отдают преступникам большие суммы денег. По некоторым данным, в аферу ввязывается каждый сотый, получивший письмо. Известны случаи, когда доверчивые граждане не только выворачивали карманы, но и переводили крупные суммы со счетов фирмы, в которой работали. Основное поле деятельности мошенников – западная Европа и США. Там обнаруживается намного больше доверчивых граждан, жаждущих легких денег и имеющих небольшие собственные капиталы, чем, например, на постсоветском пространстве.
Масштабы этого мошенничества оказались столь велики, что в сентябре 2002 года в Нью-Йорке состоялась международная конференция по афере 419 (номер соответствует статье законодательства Нигерии). Поток писем после этого уменьшился, однако «дети лейтенанта Шмидта» постоянно совершенствуются, разрабатывая все новые и новые методы.
Вариантом «нигерийских» писем может быть сообщение от адвоката: якобы после смерти ее дальнего родственника, живущего за границей, осталось солидное наследство. Для перевода денег мошенники требуют сообщить информацию о банковском счете либо заплатить некоторую сумму накладных расходов.
На адрес фирмы может прийти сообщение о том, что ее посчитали привлекательной для крупной инвестиции, необходимо оплатить небольшие накладные расходы или выслать полные реквизиты фирмы с печатями и бланками.
Получивший письмо может «выиграть в лотерею», и его попросят заплатить соответствующие налоги. К письму прилагаются реквизиты доверия: фотография, например, выигранной машины, сертификаты, свидетельства о регистрации, комментарии воодушевленных участников и пр.
Очень популярно мошенничество на интернет-аукционах: жертва получает сообщение о продаже несуществующего лота по привлекательной цене, оплачивает покупку и долго ждет товар либо получает не то, что заказывала. Хотя рисковать в этом случае мошенники не любят, ведь на крупных аукционах типа eBay (/) к продавцу товара предъявляются особые требования, и, засветившись однажды, продать что-то в следующий раз будет тяжело. Используется следующая схема: ищется сторонний продавец, который под проценты будет торговать товаром. Жертва регистрирует свои персональные данные на аукционе и выставляет лот, используя присланные ему работодателем фотографии и описание товара. Все остальное берет на себя другая сторона. Жертва должна только ждать, когда поступят проценты от продажи. Стоит ли говорить, что, когда товар не дойдет покупателю, проблемы возникнут именно у доверчивого продавца?
Может быть наоборот: жертве, продающей дорогую вещь, «случайно» высылается чек на сумму, превышающую стоимость вещи, продавец возвращает разницу, а при проверке в банке оказывается, что чек нельзя обналичить (чаще всего он поддельный). В последнее время стали популярными продажи прошивок сотовых телефонов, позволяющие говорить без ограничений, или генераторов кодов пополнения. Обманутые жертвы вряд ли побегут жаловаться в милицию, так как сама сделка не совсем законна.
Есть решения проще. Жертве предлагается перечислить символическую сумму на счет благотворительной организации, несуществующей церкви, жертвам тайфуна, террора, борьбы со СПИДом и пр. Особенно массовыми такие письма становятся после появления в средствах массовой информации соответствующего сообщения (как это было с тайфуном в 2005 году). Хотя в этом случае выгоды не обещают, этим мошенничеством занимаются те же люди, которые рассылают «нигерийские» письма.
Если вы не хотите быть обманутым, в первую очередь оценивайте гарантийные факторы, конкретные параметры организации, которые можно легко проверить (например, контактные данные – адрес и номер телефона) или соответствие закону (к примеру, гарантию). Если оценивать информацию только по внешним (виртуальным) признакам, можно легко стать жертвой обмана. Следует скептически относиться к сгенерированным сайтом маркетинговым элементам:
• отзывы клиентов (которые выглядят одинаково восторженными) и идеальная гарантия, возмещающая все убытки по истечении любого строка и в любое время суток;
• отчеты о размерах продаж, особенно если они выглядят нереально (например, указывается ежедневный объем продаж 5 тыс. единиц, а в наличии имеется всего 5);
• удостоверения, выданные какой-то ассоциацией…;
• статьи или фотографии из журналов (не поленитесь зайти на сайт издания и найти там оригинальный вариант: часто мошенники, взяв оригинал статьи, просто меняют название);
• другая информация, которую трудно проверить.
Мошенничество в системе денежных расчетов WebMoney
Не обошло Интернет явление финансовой пирамиды. Наиболее известной является «Золотой кошелек» («Волшебный кошелек», «Волшебный аккаунт», «Золотой аккаунт», «Двойной баланс»). Суть проста: пользователю приходит письмо (естественно, «случайно» или в виде спама), в нем по секрету сообщается о том, что в системе денежных расчетов WebMoney (/) существуют особые кошельки, переслав на которые некую сумму через некоторое время можно получить вдвое больше.
Владельцы указанных кошельков не имели подтвержденного аттестата, и никакого логического объяснения принципа удвоения капитала придумано не было, поэтому этот тип мошенничества стал затухать. Тогда был придуман миф, что небольшие суммы с таких кошельков действительно возвращают – якобы для дальнейшего привлечения клиентов.
Этот миф распространяли сами держатели этих кошельков. Появились даже вирусы, запускающие сообщение о выигрыше двойного баланса при запуске программы, работающей с электронными деньгами, – Keeper.
Еще один вариант – якобы найденная ошибка в платежной системе (рис. 7.1).
Рис. 7.1. Сообщение о якобы найденной ошибке в WebMoney
Подобные «волшебные кошельки» существовали и для других платежных систем: e-gold (-gold.com/), RUpay (/) и др. Дошло до того, что в марте 2006 года система e-gold изменила политику: теперь счет пользователя, транзакции которого вызывают подозрения, может быть заблокирован. Разблокировать счет и вернуть деньги пользователь сможет, только раскрыв свою анонимность.
Существовал и вариант прямого вымогательства, напоминающий «нигерийские» письма. Пользователю приходило письмо с просьбой переслать небольшую сумму денег. Мотивировалось это тем, что владелец указанного кошелька участвует в партнерской программе, но ему немного не хватает до суммы выплаты. В WebMoney существует соглашение: если некоторое время после открытия кошелек не используется, его закрывают. Это и указывалось в мотивации, мол, помогите сохранить кошелек, переслав на него символическую сумму, а позже вам ее возвратят. Часто мошенники просто прикрываются именем WebMoney – например, проект Eurowebmoney (WebMoney в Европе) (/), обманувший немало людей. Кстати, сайт до сих пор существует, будьте осторожны.
Вообще, вокруг электронных денежных систем крутится много подозрительных проектов, которые объявляют себя частью системы. Например, недавно от имени ПриватБанка рассылались письма с предложением ознакомиться с новым совместным проектом компании 2checkout.com и ПриватБанка. Оказалось, что это обман.
Мошенники часто используют следующий прием: от имени администратора платежной системы высылается письмо о якобы возникших проблемах со счетом с просьбой выслать пароль для уточнения. Прежде чем высылать пароль, попробуйте зарегистрироваться в своей системе, и вы убедитесь, что все нормально, вас просто хотели обмануть.
Правило здесь одно: прежде чем доверить кому-либо деньги, проверяйте всю доступную информацию. Если, например, сайт российского обменного пункта находится за границей либо на бесплатном сервисе, телефоны и другая контактная информация отсутствует или вызывает подозрение, если предложение пришло со спамом, в ICQ, если используется анонимный аттестат, а не аттестат с более высоким статусом, требующим подтверждения личности, лучше откажитесь от сделки. Попробуйте просто ввести имеющиеся данные в любом поисковом сервисе: если кто-то уже обжегся, он обязательно оставит сообщение на форуме. В Интернете начинают появляться специальные сервисы вроде / (рис. 7.2), на которых собирается информация по всем выявленным в Интернете видам мошенничества и подозрительным сайтам.
Рис. 7.2. Сайт weboborona.ru
Если вы все-таки решили принять участие в подобной сделке, начните с небольших сумм: если потеряете, то немного. В любом случае оповестите о мошенниках службу поддержки системы электронных платежей.
Как избежать обмана при приеме на работу в Интернете
Интернет позволяет искать работу не отходя от компьютера и работать на дому. Оба этих случая не остались без внимания мошенников. Первый способ напоминает «нигерийские» письма. Объекту предлагается высокооплачиваемая работа или участие в прибыльном деле. Злоумышленники используют тонкие психологические приемы, торопя жертв к быстрому (то есть необдуманному) принятию решения: вакансия ограничена по времени, работу получит тот, кто первым ответит на письмо, и пр. Для убедительности могут называться некоторые реквизиты существующей организации, а потенциальный босс якобы работает в ее филиале, который расширяется. Далее кратко описывается характер будущей работы и очень подробно – материальные блага, которые получит устроившийся на работу. В конце письма присутствует предложение внести некоторую (часто действительно небольшую) сумму денег на накладные расходы по оформлению заявки, пересылке компакт-диска с тестовым заданием и пр.
Даже если указанный диск придет, это не означает, что вас возьмут на работу (вы просто не пройдете тест). Фактически вам продадут обычный диск по цене, в несколько раз превышающей его себестоимость. Почему бы не переслать необходимые документы по электронной почте или не выложить на сайт? Злоумышленникам просто нужно, чтобы вы выслали деньги, в этом вся суть.
Другим вариантом является ваша пересылка будущему работодателю копий документов, среди которых – отсканированная с двух сторон кредитная карточка. Такой вариант часто используется, если вас пытаются «устроить на работу за границей». Стоит ли говорить, что с указанной карточки вскоре будут сняты все деньги. Мошенников в Интернете немало, и часто даже опытному пользователю сложно отличить честный бизнес от обмана.
Будьте особенно внимательны к следующим предложениям.
• Письмо пришло в виде спама: здесь присутствует расчет на массовость, когда хоть одно письмо из тысячи найдет отклик. Вряд ли уважающая себя фирма будет использовать такой способ поиска сотрудников, она скорее обратится в кадровое агентство.
• Обещают высокие доходы, но при этом ничего особенного делать не надо и ваша квалификация никого не интересует.
• Сайт или адрес электронной почты находится на бесплатном хостинге: вряд ли у организации, готовой заплатить сотни или даже тысячи долларов за неквалифицированный труд, не нашлось денег на нормальный домен.
• Не указаны контактные данные офиса, номера телефонов не принадлежат указанному городу и пр.
• Сертификаты и гарантии, подтверждающие полномочия, невозможно рассмотреть, название организаций, выдавших их, непонятны или звучат слишком громко, цифры продаж выглядят нереально.
• У вас просят некоторую сумму денег: настоящие работодатели не просят денег у соискателей.
Если хоть один из этих пунктов актуален, значит, из вас пытаются вытянуть деньги, даже не пытаясь дать работу. Может случиться наоборот: вы сделаете работу, но денег за нее не получите. В этом случае мошенничество сложно распознать сначала, но, потратив время, а возможно, и деньги (на Интернет или необходимые инструменты), вы обнаружите, что вас обманули. В некоторых случаях помогут советы, приведенные выше, но не всегда.
Например, мне как автору статей несколько раз приходили письма, в которых предлагалось написать книгу. Все в них было как положено: обращение по имени, знание реального положения дел (например, указывались авторы статей, печатающихся в том же издании), реквизиты в конце письма соответствовали реальности, но было несколько «но». Первое, что бросалось в глаза, – меня явно торопили с ответом, ссылаясь на то, что «свято место пусто не бывает». Получается, что конкретное задание, то есть тема книги, еще не определена, но место уже может быть занято. Хотя, если взглянуть на полки в книжных магазинах, всегда можно найти несколько книг на сходную тематику, написанных разными авторами.
Совет
Адрес отправителя можно узнать не только по информации в поле От. Почтовые клиенты позволяют просмотреть исходный текст письма (в The Bat! для этого следует нажать клавишу F9, в Mozilla Thunderbird – сочетание клавиш Ctrl+U), в котором скрыто гораздо больше информации. Поле Received покажет весь путь письма в Интернете.
Оказалось, что письмо было отправлено не с того электронного адреса, который указан в реквизитах. Обычно пользователь редко задумывается над этим, нажимает в почтовом клиенте кнопку Ответить и договаривается о работе. При этом мошенники могут использовать адреса, похожие на реальные. Например, адрес сайта / принадлежит издательству «Питер», а если набрать в адресной строке /, откроется сайт, посвященный Санкт-Петербургу. Есть и другие варианты: /, / и т. д. Если имя длинное, то иногда проще заменить одну букву на похожую, например v на w, i на 1, y на i (britny.com – britni.com), убрать букву (b1gbank.com, bigbnk.com). Часто вместо имени указывается IP-адрес, ссылка кодируется и пр.
Среднестатистический пользователь не будет вникать в эти подробности, которые к тому же не сразу бросаются в глаза, поэтому, подобрав свободный домен, можно использовать реквизиты настоящей организации и действовать от ее имени. В письме могут также попросить ответить на другой, отличный от указанного в поле От электронный адрес, мотивируя это, например, тем, что доступ к корпоративному почтовому ящику автор сообщения может получить только на работе.
Будучи внимательным, можно легко раскусить мошенников. Первое – это определить реальные атрибуты организации, предлагающей работу. Делается это просто: откройте браузер, обратитесь к любому поисковому серверу, например /, и в поле запроса введите параметры, например ИД Питер. Домены, принадлежащие организациям, как правило, обладают наибольшей релевантностью при запросе, поэтому в списке они выводятся первыми.
Внимание!
Мошенникам ничего не стоит подделать обратный адрес, поэтому по возможности проверяйте контактную информацию организации, нанимающей вас на работу.
Если письмо отправлено с домена, действительно принадлежащего организации (в моем примере электронный адрес заканчивается на @piter.com), и с атрибутами все в порядке, то можно быть уверенным, что вас не обманывают. Можно попробовать вместе с атрибутами организации ввести фамилию написавшего человека. Крупные организации не ограничивают поиск кандидатур электронной почтой, а используют все возможности Интернета – сайты, форумы и пр., поэтому, если вам повезет, вы сможете найти контактную информацию и сверить ее с имеющейся.
Теперь рассмотрим вариант, когда с вами связывается представитель организации, работающий в одном из ее филиалов, находящемся в другом городе или стране. Контактная информация в этом случае может отличаться. В этом случае можно написать напрямую в главный офис: пусть подтвердят статус человека, нанимающего вас на работу. Проверку можно также осуществить самому. В моем случае адрес заканчивался на @minsk.piter.com, значит, письмо пришло с поддомена minsk, верхним уровнем которого является piter.com, что может указывать на принадлежность ИД «Питер». Однако это простой случай – можно сказать, повезло.
Для подтверждения догадки посмотрим, какую еще информацию можно извлечь из имеющихся данных. Для начала попробуем протрассировать маршрут к minsk.piter.com с помощью утилиты tracert, стандартно входящей в комплект Windows XP версии Professional. Выполните команду Пуск → Выполнить и в появившемся окне наберите cmd, а в окне терминала – tracert minsk.piter.com (рис. 7.3).
Рис. 7.3. Использование утилиты tracert
Последним, 17-м узлом, через который прошел пакет, оказался ns.piter-press.ru. Домен piter-press.ru также принадлежит ИД «Питер», запись ns свидетельствует о том, что он принадлежит DNS-сервису, который преобразует имена в IP-адреса.
Это еще не все возможные проверки. В поставке Windows XP есть утилита nslookup, но ее использование не дает нужной информации. В Интернете доступны whois-сервисы (от англ. who is who – кто есть кто), которые помогут получить нужную информацию. Найти их просто: наберите в любом поисковике запрос whois сервисы или whois service (если поисковик зарубежный). В списке выберите любую понравившуюся ссылку. Например, воспользуйтесь сервисом -service.ru/.
Данный сайт предоставляет различные услуги, в числе которых IP Lookup (-service.ru/lookup), позволяющий получить информацию, какой организации принадлежит IP-адрес или подсеть, а также на какой хостинг-площадке размещается сайт. Введите доменное имя, и в ответе вы получите информацию об организации, на которую зарегистрирован этот домен (рис. 7.4).
Рис. 7.4. Онлайн-сервис whois
Доступны и другие утилиты:
• tracert – трассировка пути доступа к серверу, проверка времени прохождения данных до каждого из промежуточных узлов на пути к сайту;
• whois и dnswatch – просмотр записей о домене на DNS-серверах, а также информации о серверах, поддерживающих работу зоны DNS и почты для домена;
• ping – проверка доступности узла;
• whatis – информация о веб-сервере, под управлением которого работает сайт, а также операционной системе, запущенной на сервере.
Такие онлайн-сервисы могут пригодиться и тем, у кого в комплекте системы нет соответствующих утилит или они заблокированы администратором, что часто бывает, например, в интернет-кафе.
Если вас пробует нанять на работу небольшая фирма или частное лицо, о котором трудно добыть информацию легальным путем, используйте метод упорного извлечения информации из предполагаемого работодателя: пишите ему письма и задавайте вопросы. Если он действительно заинтересован, то будет все терпеливо объяснять, понимая вашу ситуацию. Если на свои вопросы вы не получите вразумительного ответа, стоит поискать другой вариант.
Часто бывает, что вас все устраивает, работу (сайт, рисунок, перевод, программу и пр.) вы сделали, а денег не получили. Выход из такой ситуации предложить сложно. Для начала необходимо сохранять все копии писем, в которых вы договаривались с работодателем. При выполнении работы следует побеспокоиться о том, чтобы затем доказать авторские права. В этом помогут черновики (нужный рисунок получается не сразу), вкладки с именами разработчиков в программе (такие недокументированные вставки называют «пасхальными яйцами»). Можно до отправки работы отослать самому себе заказное письмо с дискетой и не вскрывать его. В этом случае по почтовому штемпелю можно будет точно определить дату. Можно также «испортить» работу, написав в центре рисунка что-то вроде «для тестирования», ограничить работу программы по времени или отослать только четные страницы перевода, то есть сделать так, чтобы работодатель мог оценить уровень выполненной работы, но не воспользоваться ею в полном объеме.
7.2. Фишинг и фарминг
Рассмотрим тип атак, который наиболее часто упоминается в современной прессе: фишинг и фарминг. Им уделяют большое внимание, так как результат такого мошенничества может привести к хищению номеров кредитных карточек, паролей, сведений о банковском счете и прочих важных данных.
Суть мошенничества
Термин «фишинг» (phishing) созвучен английскому слову fishing – рыбалка, удить. Он произошел от слияния трех слов: password (пароль), harvesting (сбор), и fishing, то есть означает ловлю и сбор паролей. В фишинг-атаках широко используются методы социальной инженерии. Мошенники рассылают миллионы фишинг-сообщений в виде спама или ICQ-сообщений от имени популярных или вызывающих доверие веб-узлов – банков, компаний по выпуску кредитных карт, служб поддержки электронных денежных систем WebMoney, PayPal, аукциона eBay и др. Электронные сообщения, всплывающие окна и веб-узлы, на которые даны ссылки, выглядят официально, а дизайн сайтов полностью идентичен оригинальным, что позволяет мошенникам обманывать людей, заставляя их поверить, что письмо действительно получено от надежной организации. Существует также онлайновый фишинг, когда создается похожий на копируемый сайт в другом домене или с похожим адресом.
Эти сайты поддельные, но ни о чем не подозревающие люди часто отвечают на требования мошенников предоставить номера кредитных карточек, пароли, сведения о банковском счете или другие личные данные. Делается это под предлогом разблокирования, подтверждения, обновления данных учетной записи, восстановления пароля, тестирования нового сервиса или новых возможностей (например, прямой перевод денег в другую систему) и других плановых мероприятий. Мало кто смотрит на адресную строку браузера. Для тех, кто обращает внимание на адреса посещаемых сайтов, развились методы маскировки URL, чтобы сделать их более похожими на оригинальные. Как это делается, было частично описано в разделе «Как избежать обмана при приеме на работу в Интернете» данной главы.
Начав с бесплатных хостингов и адресов типа webmoney.mail.ru, мошенники совершенствовали свои технологии, используя адреса сайтов, записанных перед знаком @, то есть что-то типа @12345.com/. По спецификации то, что записано перед знаком @, считается данными пользователя сайта, записанного после @. Это значит, что фактически обращение идет к сайту 12345.com. В последних версиях Internet Explorer такая адресация запрещена, а в Firefox она вызывает специальное предупреждение (рис. 7.5), однако несколько лет назад эта уловка работала.
Рис. 7.5. Сообщение в Firefox, выводимое при обращении к подозрительному адресу
После регистрации, то есть ввода учетных данных и пароля, на таком сайте может появиться сообщение о том, что все в порядке, а чтобы обман не был замечен, вас могут перенаправить на настоящий сервис. Мошенники тем временем очищают вашу кредитную карточку или счет.
Показательно, что многие пользователи (по некоторой информации – до 5 %) попадаются на уловки фишеров. Несмотря на то что в нашей стране такие письма еще не стали столь массовыми, как на Западе, на десяток писем счастья, рекламы и других видов спама приходится одно фишинг-письмо. Одно попадание на такую удочку может обойтись намного дороже, чем косвенный убыток от дополнительного трафика, вызванного спамом. Популярность электронных систем денежных расчетов увеличивается, и вместе с ней повышается активность фишеров. Уже существуют phishing kit – наборы утилит, позволяющие быстро создать фишинг-сайт. Поэтому в настоящее время ситуация с фишингом напоминает ту, которая была при написании вирусов несколько лет назад, в момент появления конструкторов вирусов. Количество поддельных сайтов быстро увеличивается.
Незадачливый пользователь часто задается вопросом: «Откуда они узнали, что у меня есть счет в системе WebMoney (PayPal, eBay и др.)?» На самом деле никто ничего не узнавал, просто наверняка среди миллиона получателей окажется хотя бы несколько тысяч пользователей системы, работа которой имитируется.
В середине 2006 года появилась еще одна разновидность фишига – вишинг (vishing). Его суть аналогична, но если в случае с фишингом пользователя направляют на подставной сайт, то в вишинге указывается телефонный номер, на который нужно позвонить. На указанном номере с помощью голосового меню пользователя вынуждают ввести конфиденциальную информацию. Учитывая возможности интернет-телефонии, владельцев такого номера найти не просто, так как звонок может быть перенаправлен в любую точку земного шара.
Если фишинг – это насаживание наживки в надежде на улов, то фарминг – это скорее посев зерна, при котором не требуется полагаться на случай. Суть фарминга сводится к автоматическому перенаправлению пользователей на фальшивые сайты, когда они пытаются войти на официальный веб-сайт финансовой или коммерческой организации. В отличие от фишинга, этот метод используется практически без участия потенциальной жертвы.
Обычными методами фарминг обнаружить невозможно, так как пользователь, как ему кажется, попадает именно туда, куда хотел. Этот вид мошенничества еще не получил широкого распространения, однако он встречается все чаще. Пользователи могут стать жертвой фарминга в силу уязвимостей браузеров, которые позволяют размещать в адресной строке фальшивые адреса сайтов, а также уязвимостей операционных систем и DNS-серверов.
Именно уязвимости в серверах доменной службы имен злоумышленники используют чаще всего. Выглядит это следующим образом. Чтобы каждый раз не обращаться к службе DNS, компьютер хранит в локальном кэше записи о наиболее часто посещаемых ресурсах либо пользователь вручную заносит эти данные в файл hosts. На один из DNS-серверов злоумышленник проводит атаку, называемую отравлением DNS-кэша (DNS-poisoning). Чаще всего это сервер провайдера, так как крупные узлы защищены более надежно. Запись в файл hosts может быть добавлена также с помощью трояна или вируса. Пользователь набирает в строке веб-браузера имя ресурса, но кэш содержит неправильный адрес, на который направляется жертва. Внешне это выглядит безупречно, и обнаружить обман невозможно.
Вариантом атаки может быть использование уязвимости сценариев на вебсайтах. При этом злоумышленник встраивает свой код, который перенаправляет пользователя на другой ресурс или крадет пароли. Однако из-за сложности реализации такой подход используется реже.
Борьба с фишингом и фармингом
Прежде всего важно понимать, что банки, системы денежных расчетов, почтовые и прочие сервисы и организации никогда не просят коды и пароли, которые они выдали клиентам. Банковские системы и технологии надежны, в них используется система резервирования важной информации, поэтому клиенты не должны верить утверждениям вроде «что-то пропало» или «необходимо что-то проверить». Любая информация о том, что у банка что-то случилось, может повредить его репутации, поэтому банк скроет проблему, а не будет рассказывать о ней. Проблема будет решаться тихо по мере обращения в службу поддержки. Кроме того, администратор любого сервиса имеет неограниченные права, поэтому, даже если система не показывает ваш пароль, в критической ситуации он сможет применить его без вашей помощи, а на ваш контактный адрес придет письмо с объяснением ситуации, хотя такой случай будет из ряда вон выходящим.
Фишинг появился потому, что получение данных от клиента – более простой вариант, чем взлом защищенных банковских систем, поэтому не стоит попадаться на уловки мошенников. Прислушайтесь к следующим советам.
• Получив письмо от банка, подумайте, действительно ли он может быть отправителем.
• Никогда не отвечайте и игнорируйте сообщения по электронной почте или ICQ, запрашивающие личные данные и финансовую информацию, даже если они получены из, казалось бы, надежных источников.
• При получении подозрительного сообщения электронной почты не открывайте вложения. Свяжитесь напрямую с человеком или организацией, указанными в поле От, или службой поддержки сервиса.
• Никогда не открывайте ссылки, которые даются в сообщениях электронной почты, запрашивающих личные данные и финансовую информацию. Вводите в веб-браузере имя или адрес нужного веб-узла вручную.
• Проверяйте URL любого сайта, который запрашивает идентификационную информацию. Убедитесь в том, что сеанс начался с правильного адреса веб-сайта, и к нему не добавлены лишние символы.
• Используйте антивирус, брандмауэр, системы контроля целостности данных и другие системы защиты, о которых говорилось в предыдущих главах данной книги. Вовремя обновляйте программное обеспечение, установленное на компьютере.
• Избегайте работы с интернет-банками на компьютерах, не находящихся под вашим контролем. Особенно небезопасны общественные интернет-кафе, не рекомендуется также пользоваться компьютерами друзей и знакомых.
Всегда выходите из сервисов, использующих веб-интерфейс, с помощью предусмотренных средств. Как правило, для этого существует специальная кнопка, размещенная в правом верхнем углу страницы (Logout, Sign out или Выход). Так вы не позволите любому человеку, севшему за компьютер после вас, воспользоваться кэшем браузера для восстановления сеанса.
Некоторые сайты имеют подписанные сертификаты, и достаточно нескольких секунд, чтобы определить, можно ли доверять открытому веб-сайту. Например, в Internet Explorer для просмотра такого сертификата в меню Файл нужно выбрать пункт Свойства. В окне свойств следует нажать кнопку Сертификаты и проверить, есть ли у веб-сайта действующий сертификат, выданный официальной организацией. В Firefox для этого следует выполнить команду Tools → Page Info (Инструменты → Информация о странице) и в появившемся окне перейти на вкладку Security (Безопасность). К сожалению, большинство российских ресурсов не используют такой сертификат.
Если вы подозреваете, что сообщили пароль в ответ на фишинг-сообщение или ввели его на мошенническом веб-узле, как можно скорее смените его. Регулярно проверяйте банковские отчеты и отчеты по кредитным картам: часто мошенники не берут крупную сумму сразу, а вымогают деньги постепенно, рассчитывая на «долгое сотрудничество».
В настоящее время не существует готового решения, позволяющего распознать фарминг и фишинг с помощью одной программы. Для защиты от фишинга разработчики наиболее распространенных интернет-браузеров договорились о применении одинаковых способов информирования пользователей о том, что они открыли подозрительный сайт, который может принадлежать мошенникам.
Новые версии некоторых веб-браузеров обладают такой возможностью. Например, фишинг-фильтр корпорации Microsoft доступен в обозревателе Internet Explorer 7, предназначенном для системы Windows XP c установленным Service Pack 2 и для Windows Vista. Он сканирует и выявляет подозрительные веб-узлы, а также предоставляет своевременные обновления и отчеты о найденных фишинг-узлах. Если вы не включили функцию антифишинга во время установки Internet Explorer 7, это можно сделать в любой момент, для чего нужно выполнить команду Сервис → Антифишинг. Функция антифишинга распознает два типа веб-узлов:
• веб-узлы, подозреваемые в фишинг-атаках: при переходе на такой узел функция антифишинга выдает предупреждение желтого цвета;
• веб-узлы, на которых предпринимались фишинг-атаки: при попытке посетить такой узел функция антифишинга препятствует этому и выдает предупреждение красного цвета, после чего на данном веб-узле нельзя ввести никакие данные.
Для пользователей обозревателя Internet Explorer версии 6 или более ранних доступна новая панель инструментов Windows Live (/), после установки которой требуется активизировать функцию OneCare Advisor. В дальнейшем эта функция будет работать подобно антифишингу в Internet Explorer 7.
Чтобы все работало, требуется наличие Windows XP c установленным Service Pack 2. Если вы используете более раннюю версию операционной системы Windows или другую систему вроде Linux, советую воспользоваться встраиваемой панелью Netcraft Toolbar, разработаную организацией Anti-Phishing Working Group, которая занимается борьбой с фишингом (/). Панель доступна в двух вариантах: для веб-браузеров Internet Explorer и Firefox. Чтобы установить ее, следует перейти по адресу и в области Choose version нажать кнопку, соответствующую используемому веб-браузеру, – появится запрос на установку нового модуля.
После перезапуска браузера в его окне появится новая панель. При переходе на сайт он будет проверяться, и индикатор Risk Rating будет отображать уровень риска сайта (рис. 7.6). Если цвет зеленый, то это означает, что сайт известен Netcraft и зарегистрирован давно (рядом с уровнем риска будет показан год регистрации и страна), его месторасположение соответствует регистрации, фальсификаций этого сайта или с этого диапазона адресов Интернета ранее замечено не было и сайт использует стандартный порт. Несоответствие хотя бы одного из этих параметров приведет к ухудшению рейтинга ресурса. Цвет панели будет меняться от желтого («внимание») до красного, указывающего на опасность.
Рис. 7.6. Показатель риска на панели Netcraft Toolbar
Кстати, по адресу можно найти большое количество реальных примеров фишерских писем.
Рассмотренная в главе 5 программа Kaspersky Internet Security обеспечивает защиту от фишинг-атак, отслеживая попытки открытия известных фишингсайтов и блокируя их. Список сайтов пополняется адресами, предоставляемыми Anti-Phishing Working Group, при обновлении сигнатур угроз.
7.3. Некоторые правила поведения пользователя в Интернете
Популярность веб-форумов, онлайн-дневников (блогов) и различных средств общения вроде электронной почты, групп новостей, различных чатов сегодня велика. Кроме добропорядочных пользователей эти сервисы привлекают мошенников, желающих поживиться за чужой счет, а также спецслужбы всего мира, поэтому рекомендуется соблюдать некоторые правила поведения в Интернете. Обычно отношение пользователя к переписке в Интернете складывается из нескольких простых пунктов: «до меня нет никому дела», «ничего особенного у меня нет», «меня никто не знает», «сообщения читают только те, кому они предназначены». Это не так.
В большинстве случаев сообщения передаются в Сети в открытом виде и могут быть прочитаны на любом этапе обработки. Существующие методы шифровки спасают не всегда, так как хакер может сделать так, что его компьютер будет транслировать сообщения между двумя компьютерами. Такой вид атаки называется man-in-middle (человек посередине). В этом случае поможет предварительное шифрование сообщений, о чем будет рассказано в гл. 11 (на диске).
Анонимность в Интернете также относительна: любой пакет, передаваемый по Сети, однозначно идентифицируется по IP-адресу, который указывает на провайдера, а следовательно, и на пользователя. Поле с информацией об отправителе электронного сообщения также укажет на IP-адрес компьютера, с которого послано сообщение. Известны случаи, когда для запуска вируса или троянской программы в корпоративную сеть хакеры изучали склонности рядовых сотрудников: ведь начальников обычно «опекает» служба безопасности. Чтобы такой сотрудник ничего не заподозрил, для него, в зависимости от его хобби, создавались сайты, печатались диски или проводились рекламные кампании.
Не следует забывать о методах социальной инженерии. Этот термин используется хакерами для обозначения несанкционированного доступа к информации путем, отличным от взлома программного обеспечения. Целью является обман пользователя и последующее получение паролей к системе или иной информации, которая поможет нарушить безопасность системы. Классическая схема включает звонки по телефону организации для выявления людей, владеющих необходимой информацией, и последующий звонок администратору: хакер в этом случае играет роль служащего, у которого возникла неотложная проблема. Может быть наоборот: хакер создает неполадку, требующую устранения, и информирует пользователя, что он является специалистом, который может ее исправить. Благодарный пользователь, не желающий лишний раз обращаться в службу поддержки, идет на контакт. Через некоторое время хакер устраняет поломку и делает свое дело. При этом у пользователя нет причин подозревать помощника в обмане, так как он сам обратился за советом. Известный хакер Кевин Митник добивался успехов именно благодаря способности убедить людей в том, что он – тот человек, за которого себя выдает, а не благодаря умению взламывать сложные системы.
В конце 2004 года компания Apple подала в суд на блоггеров, которые рассказали о новых товарах до того, как о них было объявлено официально, и потребовала открыть источник утечки информации. Apple проиграла, а в 2006 году было вынесено решение суда о том, что блоггеры обладают такими же правами по неразглашению источников информации, как и журналисты. Это положительная сторона вопроса. С другой стороны, практически все разведки мира давно имеют подразделения, занимающиеся сбором информации из подобных открытых источников. Причем в официальных заявлениях подчеркивается, что таким образом сегодня добывается большинство сведений. Службы безопасности многих крупных компаний также анализируют онлайн-дневники и переписку сотрудников, а в трудовом договоре, как правило, имеется соответствующий пункт, поэтому прежде чем написать что-то в своем блоге, на форуме или сообщить собеседнику в ICQ, подумайте хотя бы о том, что вас могут уволить, даже если вы действовали неумышленно. Имеется множество способов захватить чужой UIN ICQ, поэтому никогда нельзя быть уверенным, что на другом конце находится именно тот человек, с которым вы общаетесь. Подготовленному пользователю ничего не стоит незаметно выудить из вас интересующую его информацию.
В 1999 году на весь мир прогремело название «Эшелон» (Echelon) – сверхсекретная система глобальной интернет-слежки за любой активностью пользователей, используемая спецслужбами США, Великобритании и некоторых других государств. С помощью компьютеров большой мощности «Эшелон» может анализировать произвольно взятый трафик на предмет содержания заданных ключевых слов, которые потенциально могут использовать в своей переписке террористы. Спецслужбы долго отрицали, но все же признали факт существования «Эшелона», который после окончания «холодной войны» был практически переориентирован на промышленный шпионаж. Примерно в то же время стал известен факт существования и более новой системы слежки – Carnivore (плотоядное). Подобные системы используются спецслужбами практически каждого государства.
Глава 8 Спам – чума XXI века
Корни почтового зла
Способы борьбы со спамом
Подручные средства
Специальные программы для борьбы со спамом
«Well, there's egg and bacon; egg sausage and bacon; egg and spam; egg, bacon and spam; egg, bacon, sausage and spam; spam, bacon, sausage and spam; spam, egg, spam, spam, bacon and spam; spam, sausage, spam, spam, bacon, spam; tomato and spam…» – такое меню предлагала официантка в одной из серий популярного в 1970-х годах английского сериала «Летающий цирк Монти Пайтона», а викинги в рогатых шлемах подпевали: «Spam, spam, spam, spam, lovely spam, lovely spam».
Посетителям ресторана предлагалась только консервированная ветчина – spam (Hormel’s Spiced Ham) в разных комбинациях, которую и рекламировал хор. В это же время на другой стороне океана только зарождался Интернет. Тогда еще никто не знал, что через 20 лет эти два понятия станут практически неразделимы, а само слово «спам» будет употребляться в другом значении, которое во многих странах станет намного известнее оригинального.
8.1. Корни почтового зла
– Зачем бьете его, ребятки?
– Да это, бабушка, спамер.
– Ну, тогда ногами его, ногами!
Под спамом принято понимать незапрашиваемую пользователем корреспонденцию рекламного или иного характера, массово рассылаемую, как правило, средствами электронной почты. Спам – наверное, самое противоречивое явление в Интернете. Часть людей считает его эффективным средством рекламы, другие – что он дискредитирует фирму, использующую такой метод. Одни считают, что спам нужно запретить, искоренить, уничтожить, другие почитают его как истинное проявление свободы распространения информации.
До сих пор нет однозначного определения, что следует понимать под этим словом. Ведь человек оставил свой адрес на одном из ресурсов Интернета именно для того, чтобы ему написали. Вопрос в том, чего он именно ожидает. Почему тогда такая однозначно негативная реакция? По оценкам различных исследований, нежелательные сообщения составляют приблизительно 80 % всех сообщений электронной почты, но бывает и хуже. Вероятно, поэтому пользователь, получающий на сотню рекламных сообщений одно полезное, ненавидит спамеров – в первую очередь за то, что они отнимают его личное время. Если в среднем на удаление ненужных писем из почтовых ящиков тратится хотя бы 5 минут в день, то в неделю это будет уже полчаса, а за год – больше суток.
История возникновения спама
Идея массово рассылать рекламу, используя средства связи, возникла еще в конце ХIХ века. Тогда для этих целей использовался телеграф. В Интернете спам зафиксирован практически с первых дней, но как серьезное явление стал восприниматься только в 1993 году, когда рекламу начали публиковать в группах новостей, дискуссионных листах и гостевых книгах. Тогда и появился термин «спам».
В России первый известный случай массовой рассылки электронных писем был отмечен 19 августа 1991 года, когда во время августовского путча через электронную почту было распространено обращение Бориса Ельцина. Наибольшую известность в русскоязычном сегменте Интернета получила борьба с рассылкой спама Центром американского английского в 2002–2004 годах, реклама которого отличалась агрессивностью и массовостью. В течение долгого времени спамерам удавалось обходить антиспам-фильтры с помощью модификации контента: перестановки букв, использования текста в виде рисунков, применения похожих по начертанию букв английского алфавита (если заменить русскую букву «а» на английскую «a», то в тексте это не заметно, а для фильтра получится другое слово), деформированных рисунков, вставки HTML-кода, содержащего «мусор», невидимый пользователю, и пр. Началась серьезная борьба. Если первые заголовки сообщений читались нормально – Центр американского английского, то дальше, чтобы обмануть антиспам-фильтры, они становились похожими на ребусы: «Центр/Школа АмеRиканского/Разговорного Английskого/Языка», Tsentr razgovornogo angliyskogo yazika и даже bxPpqlA Bыуbчuтe аH.гPлubйc.kufй язhыk вмecJтe kc HDамLu!
В итоге «ЦАА» стал ненавистен пользователям всего русскоязычного Интернета, и им удалось почти невозможное: подогреть «дубину народной войны». Был создан Центр борьбы с центром американского английского (/). Компания открывала сайт, он взламывался или становился недоступным в результате DDOS-атак, почтовые ящики забивались большим количеством сообщений с вложенными рисунками. Любой уважающий себя пользователь Интернета, приезжая в Москву, звонил по одному из телефонов, указанных в объявлении, и записывался на курс. Телефоны размещались в газетах в популярных рубриках, посвященных продажам автомобилей, знакомствам и пр.
Вот анекдот тех времен: «Сегодня в ГУВД Москвы позвонил неизвестный и сообщил, что в здании Центра американского английского заложена бомба. Прибывшим на место взрывотехникам ФСБ не удалось обнаружить ничего подозрительного, поэтому было принято решение взорвать центр своими силами».
Некоторые подробности тех событий можно почитать на сайте центра борьбы, который существует до сих пор.
Привлекательность спама для рекламодателей и прочих использующих этот способ сообщить о себе – его относительно низкая стоимость и предположительно большой охват потенциальных клиентов. Именно поэтому почтовые ящики пользователей завалены различными предложениями купить, посетить, выучить и пр. Реклама по телевидению стоит на порядок дороже, поэтому при сравнимых показателях массовости она надоесть не может, так как, давая ее слишком много, рекламодатель разорится.
Если бы это была просто реклама, шума вокруг спама было бы меньше, так как всегда можно вычислить заказчика таких рассылок. До недавнего времени не было законов, запрещающих или ограничивающих подобную деятельность, но в некоторых странах они уже приняты, и пойманные спамеры привлекаются к суду и облагаются крупными штрафами.
Однако спам используется и теми, кто рекламирует незаконную продукцию или услуги. Используя технологию спама, рассылаются вирусы и «нигерийские» письма. Спамом заманивают пользователей в ловушку фишеры и другие мошенники. Их деятельность наносит серьезный урон, но найти и призвать к ответу таких злоумышленников сложнее, чем рассылающих рекламу.
Хотя спам как явление относят к электронной почте, его можно встретить в ICQ, IRC-чатах, на форумах, блогах, а также в виде SMS-сообщений.
Методы, используемые спамерами
Для обычного пользователя электронная почта начинается с почтового клиента, в котором он набирает письмо и отправляет его, нажав соответствующую кнопку. Все остальное – процесс формирования правильного заголовка, отправка и получения – остается за кадром. Спамеры разбираются в системе электронной почты и используют ее недостатки, а иногда и достоинства в своих целях.
Процесс начинается с получения списка действующих почтовых адресов. Здесь возможно несколько вариантов. Например, используя специальные программы, называемые грабберами, спамеры собирают адреса с веб-страниц сайтов, конференций, чатов, гостевых книг, списков-рассылок и прочих ресурсов. Такая программа-робот способна за короткое время собрать тысячи адресов и создать из них базу данных для дальнейшей рассылки спама.
Возможен обратный вариант: используя специальные словари, программы пытаются угадать электронные адреса. В этом случае сначала из специального словаря берутся популярные английские слова, имена людей, географические и прочие названия, затем к слову добавляется известный почтовый домен и с помощью специальной программы проверяется существование почтового ящика. Ничего сложного здесь нет. Если попытаться послать письмо пользователю, которого нет на почтовом сервере, сервер откажет в приеме сообщения, сославшись на то, что передавать письмо дальше некому. Этот адрес спамер вычеркивает.
Для примера смотрим заголовок Кому в спамерском сообщении, пришедшем на мой адрес: grind@i.com.ua, grind@ua.fm, grind@ukrpost.net, grinda@i.com.ua, grinda@mail.ru, grinda@ua.fm, grinder@i.com.ua, grinder@ua.fm, grinders@gala.net и т. д. Всего я насчитал 25 вариантов. Зарегистрировав адрес вида vasja@mail.ru, вы даже при его аккуратном использовании через некоторое время начнете получать спам.
Есть другие уловки, применяемые спамерами, чтобы убедиться, что их сообщение прочитано. Среди них следующие:
• запрос подтверждения о доставке, которое некоторые почтовые клиенты отправляют автоматически;
• использование изображений, как правило, незаметных пользователю и небольшого размера, автоматически загружаемых при открытии письма с сайтов, контролируемых спамерами.
Некоторые почтовые клиенты, например Mozilla Thunderbird, автоматически запрещают загрузку изображений из Интернета (рис. 8.1).
Рис. 8.1. Сообщение о блокировке изображения
Чтобы загрузить изображение, необходимо нажать кнопку Показать изображения.
Нередко спамерам помогают сами пользователи, щелкая на ссылках в таких письмах или пытаясь отменить рассылку, послав письмо по указанному в письме почтовому адресу. Как только спамеры получают подтверждение, что почтовый адрес используется, поток спама на него может многократно увеличиться. Причем часто люди, которые занимаются сбором адресов, необязательно сами рассылают спам. Базы адресов являются востребованным товаром, и их часто продают заинтересованным лицам.
Для отправки спама могут использоваться open relay SMTP-серверы, которые не требуют аутендификации пользователя при отправке почты или с простой аутендификацией, которую могут выполнить программы-роботы. Такие серверы создают специально или находят неправильно настроенный администратором общедоступный сервер. Для массовых рассылок спама с использованием троянцев создаются целые зомби-сети.
8.2. Способы борьбы со спамом
Если полистать подшивки журналов конца 1990-х – начала 2000-х годов, можно обнаружить, что статей, описывающих борьбу со спамом, в них нет. Пик спамерской активности приходится на 2002–2003 годы. В это же время началась активная разработка систем защиты.
Простые шаги противодействия спаму
Спасение утопающих – дело рук самих утопающих.
И. Ильф, Е. Петров. Двенадцать стульевМероприятия по борьбе со спамом можно разделить на организационные и технические. Начнем с первых.
Чтобы не «засветить» свой почтовый ящик, придерживайтесь следующих советов.
• Хотя ваш провайдер дал вам адрес электронной почты, обязательно заведите себе почтовый ящик на одном из бесплатных серверов. Этот адрес можно безболезненно использовать для публикации в открытых источниках: при регистрации на форумах, для рассылок, при общении с незнакомыми людьми и в прочих ситуациях, когда нужно будет указать адрес электронной почты.
• Свой основной адрес электронной почты сообщайте только хорошим знакомым.
• Используйте адрес, состоящий из букв и цифр (например вместо grinder можно написать gr1nder, то есть вместо буквы i можно применять цифру 1, вместо буквы «о» – цифру 0) либо составные слова. На экране такие адреса читаются без труда, запомнить их легко, тем более что большинство пользователей просто занесут ваш адрес в адресную книгу почтового клиента. Подобрать такой адрес непросто, и их обладатели получают на порядок меньше нежелательной почты.
• Оставляя на форуме даже свой неосновной адрес, обязательно маскируйте его так, чтобы человек понял, а робот нет. Вариантами могут быть grinder (at) ua.fm, NO_SPAM_grinder@ua.fm.
• Часто в форме, выводимой при регистрации программного продукта или услуги, установлен флажок вроде Да, я хочу получать сообщения при…. Обязательно обращайте внимание на наличие подобных пунктов и снимайте эти флажки, если не хотите, чтобы с вами в дальнейшем связывались по электронной почте.
При получении спама часто возникает желание написать этому плохому человеку, в двух (возможно, и в трех) предложениях объяснив, что вы о нем думаете. Не делайте этого. Спамер только и ждет, чтобы вы ему ответили, и как только он узнает, что ящик работает, поток писем увеличится. Спам рассылается не для того, чтобы прочитать ответ получателя. Задача спамера – сделать так, чтобы максимальное количество писем было доставлено по назначению. Чтобы обойти спам-фильтры и обмануть получателя, в поле От письма может стоять адрес человека, непричастного к рассылке спама. Вот пример заголовка одного из спам-сообщения, пришедшего на мой адрес.
Received: from smtp20.orange.fr ([80.12.242.26]
helo=smtp-msa-out20.orange.fr)
by top.trumo.net with esmtp (Exim 4.43)
id 1GkGdY-0003xD-DH
for grinder@ua.fm; Wed, 15 Nov 2007 11:00:52 +0200
Received: from SRVLAN (LSt-Amand-152-32-1-246.w82-127.abo.
wanadoo.fr [82.127.16.246])
by mwinf2004.orange.fr (SMTP Server) with SMTP id
70EC11C00085;
Wed, 15 Nov 2006 10:00:43 +0100 (CET)
X-ME-UUID: 20061115090043462.70EC11C00085@mwinf2004.orange.fr
Message-ID: <004601c708f8$d65bc08b$41fe7459@zrpizolrwlqh>
From: «=?windows-1251?B?UmljaGFyZA==?=» <Filip@g.com.ua>
Как видно из поля Received, письмо было отправлено из домена orange.fr, а в поле From указан почтовый адрес пользователя Filip@g.com.ua, принадлежащий интернет-провайдеру «Гудвин Онлайн», который не имеет к письму никакого отношения. Не удивляйтесь, если в один прекрасный день вы получите письмо от самого себя. Дело здесь обычно не в вирусе (хотя стопроцентной гарантии нет): вполне вероятно, что распространители нежелательных сообщений подделали заголовок письма, включив в него ваш адрес электронной почты.
Для отправки сообщений стандартом de facto стал протокол SMTP – простой протокол передачи почты (Simple Mail Transfer Protocol). Он в самом деле прост. Главная его цель – максимальная надежность, а не удобство. Общение почтового клиента и SMTP-сервера напоминает разговор двух людей в чате короткими фразами. В процессе такого общения сервер спрашивает, от чьего имени посылается почта. Это ему нужно не сколько чтобы вставить данные в поле От, сколько для отправки уведомления о невозможности доставки письма. Подтверждения, что адрес принадлежит именно вам, вводить не требуется. Этим и пользуются спамеры. Поэтому не удивляйтесь, если на ваш почтовый адрес будут приходить ответы сервера о недоставленной почте, которую вы никогда не отправляли. Это означает, что кто-то пользуется вашим адресом при рассылке спама.
С нежелательными сообщениями следует придерживаться следующих правил.
• Никогда не отвечайте на спам, не переходите по содержащимся в нем ссылкам, не отписывайтесь от спама и тем более не пересылайте его по цепочке. Сделав это, вы только подтвердите, что пользуетесь своим электронным адресом.
• Никогда не покупайте рекламируемый товар. Спам держится, пока он экономически оправдан. Нет покупок – нет спама.
• Удалите письмо, не открывая. Не рекомендуется использовать функции предварительного просмотра в почтовом клиенте. При выборе спамерского письма при этой включенной функции вы фактически прочитаете его.
Никогда не отвечайте «разъяренным пользователям», которые обвиняют вас в рассылке спама: это тоже может быть уловкой спамеров.
Совет
Для отключения предварительного просмотра писем в почтовом клиенте The Bat! следует выполнить команду Вид → Автопросмотр писем или нажать сочетание клавиш Shift+Ctrl+E. В Mozilla Thunderbird – выполнить команду Вид → Разбивка окна → Область просмотра сообщений или нажать клавишу F8.
Принципы фильтрации
Борьба со спамом – хуже самого спама.
Поговорка системных администраторовСпам стал все более досаждать пользователям и администраторам, которые отвечают за лишний трафик, и программные решения и применяемые технологии, предназначенные для борьбы со спамом, начали совершенствоваться. Чтобы разобраться в удобстве и эффективности предлагаемых сегодня продуктов, требуется хотя бы в общих чертах ознакомиться с принципами, используемыми при фильтрации спама.
До того как спам попадет в почтовый ящик пользователя, его можно отсеять как минимум в двух пунктах.
• На старте. При попытке отправить сообщение, например, ограничивая количество писем, отправляемых за минуту с одного адреса, заставляя пользователя подтверждать себя, закрывая доступ к внешним почтовым серверам. Здесь действуют в основном провайдеры, которые не хотят получать жалобы или попасть в «черные» списки.
• В конце пути. Блокирование приема почты из определенных доменов, использование различных эвристических анализаторов. Эти методы более эффективны, но процент ошибок у них выше.
В программных средствах могут использоваться два различных подхода, позволяющие распознать спам. Первый заключается в попытке распознать отправителя как спамера. Для этого адреса известных open relay-серверов и диапазоны адресов модемных соединений, на которых не может быть SMTP-серверов, заносятся в «черные» списки. Такие списки можно составлять самому. Существуют также специальные организации, занимающиеся этим в реальном времени – Real-time Blackhole Lists.
При всей простоте метода у него есть недостатки. Спамеры меняют адреса быстрее, чем их заносят в «черные» списки. В такие списки могут также попасть вполне легальные сервисы – как по ошибке, так и от злого умысла. Альтернативой «черных» списков являются «белые», которые больше подходят для конкретной системы, хотя их использование возможно и на сервере. Суть проста: пропускаются только письма с известными программе адресами, например записанными в Адресной книге. Как правило, в этот список автоматически заносятся те, кому пользователь отправил сообщение. Недостаток один: если знакомый захочет написать вам с другого адреса, его письмо не дойдет.
«Белый» и «черный» вместе – это «серый». Истина всегда посередине, и метод основан на различии в поведении обычного SMTP-сервера, отвечающего за отправку писем, и программ для рассылки спама. Все неизвестные серверы или отправители изначально заносятся в «серый» список. При первой попытке послать сообщение отправителю высылается код временной ошибки. Если по истечении некоторого времени он повторяет попытку, сообщение принимается, а отправитель заносится в «белый» список. Спамерские программы либо не умеют повторно отправлять сообщение, либо делают это через другой промежуточный сервер или адрес, что выглядит как другое сообщение, либо успевают за это время попасть в известные списки, поэтому данный метод считается одним из самых эффективных и позволяет отсеивать до 90 % спама. Однако он тоже не лишен недостатков: увеличивается время доставки корреспонденции, а серверы, не выполняющие рекомендации протокола SMTP или имеющие несколько адресов, могут быть приняты за спамерские. Кроме того, спамерские программы постоянно совершенствуются, и включить в них функцию повторной пересылки корреспонденции несложно, что фактически может обесценить данный метод защиты.
Вторым вариантом борьбы со спамом является использование статистических алгоритмов, анализирующих заголовок и тело сообщения, в результате чего делается вывод о том, спам это или нет. Данный метод чаще всего применяется в конце пути – на сервере и клиентском компьютере. Его недостатком является необходимость предварительного обучения фильтров, то есть первоначально нужно использовать рассортированные вручную нормальные письма и спам. Эта технология рассмотрена в главе 5 при описании настроек модуля Анти-Спам программы Kaspersky Internet Security. После обучения удается отсечь до 95–97 % спама.
Существуют другие технологии, анализирующие изображения и заголовок. Отправителю полезного сообщения незачем скрывать свой реальный почтовый адрес и используемую почтовую программу. Он также не будет использовать специальные программы, которые изменяют идентификатор сообщения и путь его прохождения через почтовые серверы.
Борьба со спамом имеет и негативные последствия. Появляются предложения сделать электронную почту платной, и хотя они пока не нашли большой поддержки, кто знает, что произойдет в будущем. По разным подсчетам, в антиспам-фильтрах сегодня остается около 1 % нормальных писем, и это притом, что электронная почта гарантирует стопроцентную доставку сообщений. Хорошим тоном стало подтверждение получения письма: «Письмо получил, прочитаю, отвечу».
8.3. Подручные средства
Программы для борьбы с нежелательными почтовыми сообщениями, ориентированные на конечного пользователя, могут быть реализованы в виде плагинов к известным почтовым клиентам или самостоятельных решений. Одни приложения позволяют удалять спам прямо с почтового сервера, экономя время пользователя и трафик. При работе они анализируют только заголовки писем, поэтому не отличаются высокой точностью. Другие программы загружают письмо полностью и если обнаруживают, что это спам, помечают его особым образом. Используя созданное правило сортировки, помеченные письма в почтовом клиенте можно складывать в отдельную папку.
Такие программы экономят только время пользователя, которое он мог бы затратить на сортировку писем вручную. Некоторые почтовые клиенты изначально поставляются с модулями, предназначенными для борьбы со спамом. Как правило, они используют анализатор, требующий полной закачки письма.
Сортировка писем вручную
Если спама в ящике немного, его можно удалять вручную, первоначально загружая только заголовки писем, а затем отбирая нужные сообщения. Так, в почтовом клиенте The Bat! для загрузки заголовков выполните команду меню Ящик → Диспетчер писем → Только для новых писем или нажмите сочетание клавиш Ctrl+F2. В появившемся Диспетчере писем (рис. 8.2) напротив писем, которые нужно загрузить, установите флажок Получить, а ненужные отметьте флажком Удалить. Чтобы диспетчер выполнил команду, выберите в меню Письмо пункт Начать передачу или нажмите клавишу F2.
Рис. 8.2. Диспетчер писем The Bat!
В другом почтовом клиенте, Mozilla Thunderbird, необходимо выполнить команду Инструменты → Параметры учетной записи, в настройках нужной учетной записи нажать кнопку Параметры сервера и установить флажок Загружать только заголовки сообщений. Теперь при нажатии кнопки Получить будут загружены только заголовки писем и, щелкнув на заголовке, вы сможете определить, нужно ли получать письмо (рис. 8.3). Если нужно, дважды щелкните на заголовке или на ссылке Здесь в окне просмотра. Если письмо является спамом, можно выполнить следующие действия:
• нажав кнопку Удалить, удалить письмо;
• выполнив команду контекстного меню Отметить → Как спам → Запустить анти-спам фильтры, обучить антиспам-фильтр.
Рис. 8.3. Загрузка заголовков писем в Mozilla Thunderbird
Работа с антиспам-фильтрами почтовых клиентов
Существует большое количество сторонних программ, однако фильтрацией спама можно заниматься, используя поставляемые с почтовым клиентом модули. Работа с ними может показаться не совсем удобной и интуитивной, но зато они стабильны, не вызывают противоречий, всегда под рукой и изначально готовы к тому, чтобы что-то отфильтровать, чем стоит воспользоваться.
Плагин к Mozilla Thunderbird
Мы уже начинали рассматривать этот плагин, рассмотрим его настройки. Выполите команду Инструменты → Анти-спам фильтры. Удобно, что Mozilla Thunderbird позволяет настроить параметры фильтрования индивидуально для каждого ящика (рис. 8.4).
Рис. 8.4. Настройки антиспам-фильтра в Thunderbird
Почтовый ящик можно выбрать с помощью раскрывающегося списка Настроить параметры анти-спам фильтров для. Здесь доступны две вкладки. На вкладке Параметры производятся общие настройки, но сначала необходимо зайти на вкладку Адаптивный фильтр и убедиться, что установлен флажок Включить анти-спам фильтры. Здесь же расположена кнопка Удалить данные обучения, имеющиеся в адаптивном фильтре, нажатие которой приведет к удалению всех данных из фильтра, что позволит переобучить его в случае серьезных ошибок.
Чтобы корреспонденты, с которыми вы переписываетесь, случайно не попали под действие антиспама, обязательно установите флажок Не помечать сообщения как спам, если отправитель находится в, что активизирует «белый» список.
Thunderbird различает метки некоторых внешних антиспам-систем (SpamPal и SpamAssasin). Если такие системы используются, например, провайдером, то стоит упростить работу антиспам-фильтра Thunderbird, разрешив ему применять соответствующие метки: установите флажок Использовать специальные поля в заголовках писем установленные.
В области Обработка указываются действия, которые нужно выполнить с письмом, помеченным как спам. Чтобы переместить такое сообщение из папки Входящие в другую при обнаружении его самим фильтром, установите флажок Перемещать сообщения, определённые как спам в и, используя раскрывающиеся списки, выберите папку-приемник. Если вы не хотите, чтобы такие сообщения накапливались, установите флажок Автоматически удалять спам из этой папки через … дней и введите необходимое значение. Если сам пользователь помечает письмо как спам, можно выбрать два варианта: переместить в папку Спам или удалить. Для этого необходимо установить переключатель Когда я сам помечаю сообщения как спам в соответствующее положение. Чтобы не возникло недоразумений (например, загрузка изображения с сайта при случайном открытии письма, отправленного спамером), установите флажок Использовать упрощённый HTML при отображении спама в формате HTML.
Кнопка Журнал анти-спам фильтров позволяет ознакомиться с работой фильтра, что позволит оценить его эффективность. Нажав ОК, вы сохраните настройки и позволите антиспам-фильтру по мере обучения надежно защищать вас от нежелательной корреспонденции.
Плагин к The Bat!
В популярный почтовый клиент The Bat! также включен модуль антиспам. Основным методом работы этого модуля является статистический метод, поэтому при приеме сообщений пользователь сначала обучает его, для чего помечает письма, используя команду контекстного меню Специальное → Пометить как спам или Пометить как НЕ спам. Поддерживается работа с «черным» и «белым» списками, также модуль частично может работать со встроенными в The Bat! фильтрами выборочного скачивания.
Для настройки работы фильтра выполните комаду Свойства → Настройка → Модули расширения и в открывшемся окне в списке выберите пункт BayesIt!. Внизу страницы находятся кнопки, позволяющие выполнять операции с установленными модулями. Если сейчас нажать кнопку Информация, можно просмотреть статистику работы выбранного модуля, в которой вы увидите процент соотношения спам – не спам за последние сутки и месяц, данные об оценочной базе, используемых файлах словарей и ошибках. Для настройки реакции модуля при обнаружении нежелательной корреспонденции выполните команду меню Предупреждения → Защита от спама (рис. 8.5).
Рис. 8.5. Настройка спам-фильтра в The Bat!
Советую сразу установить флажки Перемещать в папку для спама, если рейтинг более и Помечать спам как прочитанное, а также Перемещать письма, помеченные как спам, в папку для спама (см. рис. 8.5). Если The Bat! забирает письма с нескольких почтовых ящиков, для сбора спама имеет смысл использовать общую папку, установив одноименный флажок. Если хотите, чтобы письма с высоким рейтингом, то есть спам, удалялись автоматически, установите флажок Удалять письма с рейтингом более и укажите необходимо значение. Предлагаемое по умолчанию значение 80 является оптимальным для большинства случаев. Этот флажок следует устанавливать после обучения, иначе в спам может попасть полезная информация.
Папка Спам является системной папкой The Bat!, она будет автоматически создана при необходимости поместить в нее письмо, отфильтрованное антиспам-плагином, поэтому вручную создавать ее не следует. На этапе обучения следует чаще заглядывать в нее, чтобы убедиться в отсутствии там полезной корреспонденции, при обнаружении которой следует выполнить команду контекстного меню Пометить как НЕ спам.
Нажав кнопку Настроить вверху окна, можно настроить модуль более тонко. Параметры сгруппированы в пять разделов. В разделе Filter’s language (Язык интерфейса) выбирается язык интерфейса. Перейдя в раздел Basic filter’s options (Базовые параметры фильтра), вы сможете настроить следующие параметры (рис. 8.6).
Рис. 8.6. Тонкая настройка фильтра
• Working directory (Рабочий каталог) и Filter log (Файл журнала) – изменить рабочую папку фильтров и расположение файла журнала.
• Number of ranking tokens (Количество оценочных признаков) – показывает количество слов, которые будут участвовать в определении рейтинга: значение 15 является оптимальным, и изменять его не рекомендуется.
• Use enhanced evaluation (Расширенная оценка) – в случае необходимости разрешает отойти от жесткого значения параметра Number of ranking tokens (Количество оценочных признаков) и использовать нужное количество слов.
• Use «whitelist» of kludges («Белый» список заголовков) – здесь можно указать, какие технические заголовки следует игнорировать при обработке. Некоторые системы добавляют свои заголовки вроде X-Spam-Score; чтобы исключить их влияние на рейтинг, используется этот параметр.
• Splash screen on start/exit/waiting (Показывать заставку) – позволяет BayesIt! показывать окна с диагностическими сообщениями в случае выполнения некоторых продолжительных операций, чтобы пользователь не подумал, что программа зависла.
В области Logging options (Вести журнал работы) настраиваются сообщения, которые будут записаны в журнал работы модуля.
В подразделе Local alphabet (Локальный алфавит) настраиваются правила для декодирования русских слов, у которых часть букв заменена похожими по начертанию английскими. Применение такой функции позволяет на порядок повысить качество работы фильтра и уменьшить размер статистической базы словаря за счет того, что в ней будут храниться значения всех слов в едином виде.
Разделы Правила «белого» списка, Правила «черного» списка и Игнор-список по настройкам схожи. Назначение первых двух понятно, они уже рассматривались ранее. Игнор-список предназначен для обработки писем, которые не являются ни спамом, ни желательной почтой, например диагностические сообщения почтового сервера. Чтобы антиспам-фильтр не тратил ресурсы, их значения заносятся в этот список. В The Bat! невозможно фильтровать письма, основываясь на данных, записанных в Адресной книге, как это возможно в Thunderbird. Все правила придется создавать вручную.
Нажатие кнопки Добавить или Править при редактировании правила приведет к появлению окна настройки (рис. 8.7).
Рис. 8.7. Окно добавления/редактирования правила
В этом окне для заполнения доступны два списка и два поля.
• Область сообщения для проверки – здесь задается область письма, которая будет анализироваться с помощью этого правила. Доступны следующие варианты:
– Везде – все письмо целиком, без предварительного декодирования, в том виде, в котором оно получено;
– Заголовок – служебные заголовки письма;
– Тема, Отправитель, Получатель, Копия, Скрытая копия – фильтрация по содержимому одноименных полей письма;
– Тело – все тело письма, то есть практически Везде минус Заголовок.
• Условие – задается интерпретация выбранного поля в сравнении с заданной далее сигнальной строкой. Доступны варианты: Содержит, Не содержит, Начинается на, Не начинается на, Заканчивается на, Не заканчивается на, Совпадает с, Не совпадает с, Удовлетворяет условию, Не удовлетворяет условию.
• Тест сигнальной строки – содержит собственно строку, которую следует искать.
• Имя правила – название вновь созданного правила, которое будет выводиться в списке. Лучше выбрать имя, отражающее суть правила.
Теперь установите флажок Активизировать правило и нажмите ОК. Правило создано.
Использование вышеописанных списков и полей является дополнительной функцией, поэтому увлекаться не стоит. Основное их назначение – автоматическая коррекция поведения модуля, если он систематически ошибается для писем определенного вида. Его можно также использовать, чтобы гарантированно принимать некоторую почту. Например, если вам необходимо «засветить» свой почтовый адрес в Интернете, борьба со спамом вам обеспечена. Чтобы полезная информация не попадала в спам, попросите в теме письма писать определенное кодовое слово. После этого создайте правило для «белого» списка: в раскрывающемся списке Область сообщения для проверки выберите пункт Тема, в списке Условие – пункт Содержит или Начинается на, в поле Тест сигнальной строки введите свое слово. Теперь письма, содержащие в поле Тема кодовое слово, не будут анализироваться и будут беспрепятственно проходить через фильтр. Таким же образом можно отфильтровывать и сообщения серверов почтовых рассылок вроде subscribe.ru. Можно попробовать составить «черный» список, но угнаться за спамерами практически невозможно. Самое популярное в таких рассылках слово, viagra, состоящее всего из шести букв, может иметь бесчисленное множество вариантов (v1agra, vi@gra, v_i_a_g_r_a и т. д.).
8.4. Специальные программы для борьбы со спамом
Что такое полное одиночество?
Это когда с Новым годом тебя не поздравляют даже спамеры.
Если функции, заложенные в почтовых клиентах, вас не устраивают или реализованы неудобно, можно обратиться к специальным программам.
Чистильщик почтовых ящиков – POP3 Cleaner
С помощью этой небольшой и простой в использовании программы вы сможете предварительно просмотреть и удалить нежелательные почтовые сообщения прямо на сервере. Очистка происходит вручную или с использованием «черного» списка правил, задаваемых пользователем. В такой список заносится информация о почтовых адресах или доменах, почту с которых вы не хотите получать. Кроме того, выполняется поиск нежелательных ключевых слов. Программа поддерживает работу с четырьмя почтовыми серверами, чего в большинстве случаев достаточно. Из недостатков можно отметить отсутствие поддержки защищенных протоколов передачи почты, поэтому с такими сервисами, как, например, Gmail, POP3 Cleaner работать не будет. Это приложение удобно использовать людям, подключающимся к Интернету по низкоскоростному модемному соединению либо работающим на слабых компьютерах, так как POP3 Cleaner практически не нагружает систему.
Утилита бесплатна, загрузить ее можно с сайта проекта . Ее размер – 343 Кбайт. Установить POP3 Cleaner просто, достаточно запустить исполняемый файл и следовать за инструкциями на экране.
После установки необходимо настроить POP3 Cleaner для работы с почтовыми ящиками. Для этого перейдите на вкладку Automation/Setup и введите параметры используемого почтового сервера (для справки загляните в настройки почтового клиента):
• POP3 mail server or IP – имя почтового сервера или его IP-адрес;
• User name – имя пользователя;
• Password – пароль.
После запуска значок POP3 Cleaner помещается в область уведомлений, и программа переходит в режим ожидания. Это удобно для оповещения о приходе новой почты. С помощью ползунка задайте время, через которое приложение будет проверять наличие новой почты на указанных почтовых адресах, и установите флажок New mail notification – теперь вы будете предупреждаться о приходе новой почты. В области Anti-SPAM rules указываются настройки фильтрации нежелательных сообщений:
• Delete message larger than … Bytes – если хотите, чтобы POP3 Cleaner автоматически удалял сообщения большого размера, укажите размер в данном поле и установите соответствующий флажок;
• Delete all messages coming from the following addresses – при установке данного флажка все сообщения, пришедшие с указанных в этом поле адресов (вида spammer@someserver.com) или доменов (@someserver.com), будут удаляться;
• Delete all messages with a subject line containing – при установке этого флажка все сообщения с указанным значением поля Тема будут удаляться.
Чтобы программа автоматически запускалась и выполняла все предписанные действия, установите флажок Autostart/Automatic mailbox cleaning и нажмите кнопку Save setup, расположенную в правом нижнем углу вкладки.
После настроек перейдите на вкладку Manual mailbox cleaning, назначение которой – очистка почтового ящика вручную. Выберите нужный сервер в раскрывающемся списке и нажмите кнопку Display messages, расположенную вверху окна (рис. 8.8). POP3 Cleaner подключится к выбранному почтовому серверу и скачает заголовки писем. Для каждого сообщения будет показан отправитель, тема, размер, дата и время.
Рис. 8.8. Работа с сообщениями в POP3 Cleaner
Действия, выполняемые над выбранным сообщением, выбираются с помощью контекстного меню:
• Mark/unmark the message for deletion – выбрать/отменить выбор сообщения для удаления;
• Add sender to the antispam list – добавить адрес отправителя в «черный» список;
• Add sender’s domain to the antispam list – добавить домен отправителя в «черный» список;
• Add subject to the antispam list – добавить поле Тема сообщения в «черный» список.
Выберите ненужные сообщения и для их удаления нажмите кнопку Delete Marked. Чтобы свернуть программу в область уведомлений, следует нажать кнопку Hide.
Посредник WinAntiSPAM
С недавнего времени эта программа российских разработчиков стала бесплатной и изменила принцип работы. Интересна она тем, что ее авторы практически отказались от системы фильтров. Вместо этого WinAntiSPAM использует списки доверенных и запрещенных отправителей. WinAntiSPAM является посредником между сервером и вашим почтовым клиентом.
Знакомый посылает вам письмо, с помощью любого почтового клиента вы пытаетесь получить почту с сервера, а программа WinAntiSPAM, заметив активность, проверяет, является ли отправитель письма доверенным адресатом. Если да, то WinAntiSPAM разрешает клиенту получить это письмо. Если же адрес корреспондента занесен в список запрещенных отправителей, письмо автоматически удаляется и вы его не получаете. Если отправитель неизвестен, письмо помещается на карантин и блокируется. В зависимости от настроек, в дальнейшем с такими сообщениями разбирается пользователь либо автоматически формируется запрос отправителю с просьбой подтвердить передачу сообщения. Программа для рассылки спама не сможет ответить на такой запрос, а если отправитель – человек, желающий, чтобы его письмо прочли, он ответит. В этом случае WinAntiSPAM автоматически добавляет его в список доверенных отправителей и разрешает прием письма. Если в течение некоторого промежутка времени ответа не последовало, письмо будет удалено с сервера.
С роботом все пройдет, как задумано, но разработчики не учли, что спамеры используют в качестве обратных адреса реальных пользователей, реакцию которых предугадать трудно. Хотя среднестатистический человек отвечать на него (в том числе ругательствами) не будет, а просто удалит. WinAntiSPAM удобен для работы с «белыми» ящиками, которые используются для переписки с ограниченным количеством людей, и вероятность появления писем от незнакомых невелика.
WinAntiSPAM можно свободно скачать с официального сайта проекта /. Его установка проста, интерфейс локализован, поэтому разобраться с настройками несложно. После установки нужно настроить параметры почтового сервера. Для этого в главном окне программы выполните команду Установки → Параметры SMTP/POP3. В появившемся окне щелкните на значке «+» и заполните поля согласно настройкам сервера (логин, пароль, адрес сервера) (рис. 8.9).
Рис. 8.9. Настройки учетной записи в WinAntiSPAM
Параметры SMTP-сервера необходимы для отправки запроса. После ввода данных нажмите Добавить. Появится основное окно программы.
Щелкнув на ссылке Общие, вы сможете настроить параметры удаления писем, задать реакцию на получение письма не со своим адресом, разрешить пропускать письма, подписанные WinAntiSPAM.
В разделе Рассылки задается автоматическое создание запросов, удаление полученного подтверждения, вставка в поле Тема подписи при появлении в «белом» списке нового корреспондента.
Раздел Фильтры позволяет создать ключевые слова для «черного» и «белого» списков, чтобы распознавать и удалять спам сразу, без создания запроса. Здесь расположены семь вкладок (рис. 8.10).
Рис. 8.10. Настройка фильтров в WinAntiSPAM
• Ключевые фразы Спама – список слов или фраз, наличие которых в заголовках писем, находящихся на карантине, идентифицирует эти письма как спам.
• Доверенные темы – перечень значений, при появлении которых в поле Тема WinAntiSpam расценивает письмо как доверенное.
• Поля несуществующих адресов – список заголовков, которые указывают на несуществующий адрес: такой заголовок, например, проставляют почтовые серверы, когда им не удалось отправить письмо получателю.
• Удалять без занесения в список запрещенных – здесь указываются слова, при появлении которых в заголовке письма они будут удаляться.
• Фильтр по странам – интересный параметр: вы можете указать список стран (почтовых серверов), из которых вы хотите получать письма, и список стран, письма из которых будут сразу удаляться. Советую обязательно использовать эту возможность: зачем вам письма из Афганистана, Азии и других стран, стоящих первыми в рейтинге по рассылке спама? Да и фишерам труднее будет поймать вас.
• IP-фильтр подключений – здесь задаются IP-адреса, с которых разрешено или запрещено подключение клиентов.
• Подсказка – ее назначение ясно.
На этих вкладках можно использовать не только целые слова, значения и адреса, но также маски, что упрощает их настройку.
Щелкнув на ссылке Шаблоны для запросов, вы найдете шаблон запроса, который будет послан отправителю сообщения для подтверждения. Обратите внимание, что в нем используются подстановки. Так, вместо %email% будет подставлен адрес электронной почты, на который послано письмо, а вместо %day% – значение параметра Удалять из списка Запрещенных через, расположенного в разделе Общие.
WinAntiSPAM готов к работе, теперь следует перенастроить почтовый клиент, чтобы он принимал почту не напрямую, а через WinAntiSPAM. Сделать это просто: вместо адреса POP3-сервера ввести localhost.
Примечание
В The Bat! для настройки соединения следует выполнить команду контекстного меню Свойства почтового ящика → Транспорт → Получение почты → Почт. сервер. В Thunderbird для этого предназначена команда Свойства → Параметры сервера → Почтовый сервер РОР3 → Имя сервера.
Теперь, получив команду о доставке почты, клиент соединится с WinAntiSPAM, который, в свою очередь, подключится к почтовому серверу и начнет закачку заголовков.
Эксперт по борьбе со спамом SpamExperts Home
Я стараюсь описывать бесплатные продукты, так как не каждый пользователь имеет возможность купить лицензию. К тому же часто такая покупка связана с трудностями, так как используемые на Западе системы денежных расчетов не всегда любят наших. Я долго думал, какую систему выбрать, чтобы она боролась со спамом, была локализована, понятна в настройках и использовании и при этом бесплатна.
Обучаемая система для борьбы со спамом SpamExperts Desktop поддерживает работу с любыми почтовыми клиентами, может получать почту по протоколам POP3 и IMAP, в том числе и по защищенным соединениям. Она корректно работает с кириллицей, ее интерфейс приятен и прост. Программа платная, но после 30 дней тестового периода, если лицензия не куплена, она автоматически становится бесплатным вариантом SpamExperts Desktop Limited version. Версия Limited имеет ограничения по количеству заблокированных и разрешенных адресов, отсутствие сканирования почты на вирусы и технической поддержки, однако ее функциональности достаточно для большинства домашних пользователей.
Домашняя страница, где можно получить последнюю информацию и скачать продукт, – /. После установки программы потребуется перезагрузка компьютера.
Программа SpamExperts после установки не требует никаких настроек и будет автоматически перехватывать все попытки соединения с почтовыми серверами и заносить информацию в список, о чем пользователь будет предупрежден с помощью всплывающего сообщения. Вам не нужно будет делать это вручную: SpamExperts будет периодически проверять наличие новой почты и выводить сообщение при ее обнаружении. Об активности программы свидетельствует значок в области уведомлений. Он может быть двух видов: обычный (программа в режиме ожидания) и подсвеченный красным (идет проверка почты). Основное окно программы показано на рис. 8.11.
Рис. 8.11. Основное окно программы SpamExperts
Никакие настройки в почтовом клиенте делать не нужно, вы просто запускаете его и получаете почту. SpamExperts требуется некоторое время на обучение, но постепенно он будет все меньше ошибаться. Полученные сообщения автоматически распределяются по трем группам:
• Не Спам – сюда помещаются письма, признанные не спамом;
• Сомнительные – SpamExperts еще не собрал достаточную статистику, чтобы однозначно идентифицировать категорию;
• Спам – сюда помещаются письма, оцененные как спам.
Когда SpamExperts допускает ошибку или не уверен в классификации, вы должны самостоятельно изменить категорию, с помощью кнопки мыши или контекстного меню перетащив письмо на соответствующую кнопку. Когда вы переносите сообщение из папки Спам в Не Спам, оно будет доставлено в ваш почтовый клиент. Когда обучение прошло 10 нормальных сообщений и 10 сообщений спама, автоматизируется самообучающийся фильтр, и программа сможет самостоятельно классифицировать большинство писем.
По щелчку на сообщении правой кнопкой мыши появляется контекстное меню, с помощью которого можно переместить сообщение в другую категорию, а почтовый адрес корреспондента занести в «белый» или «черный» список. «Белый» список адресатов формируется путем выбора пункта меню Добавить отправителя в список Разрешенные отправители, а адресаты, письма которых вы не хотите получать, – выбором Добавить отправителя в список Заблокированные отправители. Чтобы узнать, почему SpamExperts поместил сообщение в определенную группу, следует выбрать пункт Описание классификации. Появится окно с необходимой информацией (рис. 8.12). На протяжении семи дней SpamExperts будет хранить полученные письма в кэше, после чего они автоматически удалятся из интерфейса программы. Удаление сообщений из интерфейса не влияет на данные обучения и может осуществляться без риска.
Рис. 8.12. Описание SpamExperts
Вы можете изменить начальные настройки SpamExperts, выполнив команду Редактировать → Настройки. Появившееся окно содержит три вкладки (рис. 8.13). Начнем с последней. Перейдя на вкладку Периодическая доставка, вы найдете данные почтовых серверов, на которых SpamExperts будет периодически проверять наличие новых сообщений. Здесь находятся две области, записи в которых вы можете либо удалять, нажав Удалить, либо перемещать с помощью кнопки мыши. В поле Соединения, с которых доставляется почта первоначально заносятся все серверы, с которыми хочет связаться почтовый клиент. На этих серверах и будет проверяться почта. Если вы хотите отключить такую возможность для некоторого соединения (не отключая его глобально), просто перетащите его в поле Соединения, с которых не доставляется почта.
Рис. 8.13. Окно настроек SpamExperts
На вкладке Взаимодействующие почтовые клиенты вы найдете список почтовых клиентов, о которых знает SpamExperts и соединения которых он будет перехватывать. Если вашей почтовой программы в этом списке нет, нажмите кнопку Добавить и, используя файловый менеджер, укажите исполняемый файл почтового клиента, имеющий расширение EXE.
На вкладке Общие Настройки параметров больше. Чтобы SpamExperts автоматически блокировал спам, установите флажок Блокировать спам, и спам-сообщения не будут доставляться в почтовый клиент. Если установлен флажок Блокировать спам, вы должны будете дважды проверять почту с помощью почтового клиента. Первый раз программа SpamExperts найдет и профильтрует всю почту в фоновом режиме, второй раз она доставит сообщения Не Спам в почтовую программу.
Установка флажка Изменить тему, используя тег с указанием значения поля Тема позволит использовать для всей нежелательной корреспонденции специальную метку, применяя которую, письма можно затем рассортировывать в почтовом клиенте. Активизировав Запускать SpamExperts при входе в систему, вы позволите SpamExperts сразу начинать работу. Чтобы программа автоматически проверяла доступные обновления на сайте производителя, установите флажок Автоматически обновлять. Параметр Периодически проверять почту каждые … минут разрешит автоматическую проверку почтовых ящиков через указанный промежуток времени. Чтобы SpamExperts периодически информировал о своих действиях, установите флажок Показывать всплывающие извещения.
SECUREMAKER[1] – на все руки мастер
Следующая программа —SECUREMAKER () – представляет собой «швейцарский нож», предназначенный для безопасного и удобного серфинга в Интернете. В одном пакете размером чуть больше 2 Мбайт заключено несколько инструментов, делающих жизнь пользователя более комфортной и спокойной. Особенность программы – практически полное отсутствие настроек: от пользователя в большинстве случаев требуется только включить либо выключить необходимую функцию. При всех активизированных защитных функциях вы вряд ли заметите торможение даже на слабом компьютере. При всех своих достоинствах программа еще и бесплатна.
После установки SECUREMAKER спрячется в область уведомлений и будет следить за происходящим на компьютере. По умолчанию активизирована только функция Privacy Securer, поэтому стоит вызвать главное окно программы и включить остальные, щелкнув на них (рис. 8.14).
Рис. 8.14. Главное окно программы SECUREMAKER
Пройдемся по возможностям SECUREMAKER.
Первое, что можно активизировать, – это Email Securer, Anti Spam. Теперь программа без предварительной настройки почтового клиента будет просматривать все письма, приходящие по протоколу РОР3. Некоторый спам распознается сразу же. Письмам в теме присваивается метка @WL, @CHECK или @SPAM. «Белому» списку адресов, письма от которых будут доставлены в любом случае, соответствует метка @WL. Она присваивается автоматически, когда вы отвечаете на полученное письмо либо при вводе адреса вручную в разделе Spam White List, для чего нужно выбрать Add Manually и ввести адрес. При большом количестве адресов лучше занести их в файл формата CSV и считать их из него, нажав Import CSV. Для распознавания спама используется байесовская логика, требующая обучения.
Спам помечается меткой @SPAM в поле Тема с указанием количества нарушений, которое выводится с помощью плюсов (максимум 10). Все остальные письма, не попавшие ни в одну из этих категорий, помечаются как @CHECK. Маркируя письма таким образом, Spam Fighter уменьшает время, затрачиваемое на их обработку, а при дополнительных настройках почтового клиента позволяет сортировать их по папкам. Выбрав во время приема почты пункт Spam Fighter Trainer, вы получите возможность помочь программе в выработке новых правил, присваивая письмам значения good (желательное), ignore (нейтральное) и bad (нежелательное).
Email Worm Securer призван защитить компьютеры от почтовых вирусов, ограничивая по времени количество исходящих писем и почтовых адресов, на которые отсылается почта, что понижает эффективность вирусной атаки. Если в течение двух минут с вашего компьютера будет отправлено 10 писем, то программа попросит подтвердить дальнейшую отсылку, а после положительного ответа предел будет увеличен до 40 писем/адресов. Некоторые вирусы для отсылки сообщений используют свой (встроенный) почтовый сервер, поэтому Email Worm Securer дополнительно отсекает письма, в которых адрес отправителя не совпадает с теми, которые обычно использует пользователь.
Следующая группа функций позволяет сохранить приватность при серфинге в Интернете. Помочь в борьбе с коварным «печеньем», которое пытается загрузить на ваш компьютер чуть ли не каждый второй сайт, поможет активизация Cookies CleanUp. Если есть необходимость в хранении Cookies на жестком диске, эти сайты необходимо занести в Manage Cookie Sources, выбрав в списке Processed Cookies processed и нажав кнопку Add to Friend List. Чтобы скрыть свои действия в Интернете, победить Cookies недостаточно. Каждый компьютер идентифицируется набором уникальных данных, среди которых пользовательское имя, рабочая группа и МАС-адрес сетевой карты. Основываясь на собранных данных, можно узнать о ваших привычках и интересах в Интернете. Единственно простой, но эффективный способ обеспечить вашу конфиденциальность – постоянно и случайным образом изменять подобные данные. Этим занимается Privacy Securer.
Еще одна группа функций предназначена для очистки компьютера от различного мусора, который может рассекретить вашу деятельность, – временных файлов приложений и журналов. Они размещены в пункте Betray Protection. Так, активизация Browser Cleaner позволяет удалить историю вашего серфинга по Интернету, Application Cleaner очищает список файлов в меню Файл, с которыми вы работали в последнее время, Windows Cleaner удаляет все временные файлы, созданные системой во время работы, список документов в меню Пуск, параметры поиска на компьютере файлы из папок Temp и Корзину, команды, вводимые после выполнения команды меню Пуск → Выполнить и пр. Garbage Cleaner удаляет «мусор», который остался от различных программ. Одновременно активизировать все виды очистки можно с помощью контекстного меню или сочетания клавиш Ctrl+Alt+X.
В разделе Computer TuneUp собраны не менее полезные функции, отвечающие за повышение производительности. Например, Manage StartUp Programs автоматически контролирует и при необходимости изменяет программы, загружающиеся вместе с системой. Выбрав HardDisk SpeedUp, можно активизировать сервис, отвечающий за дефрагментацию разделов жесткого диска, а в Registry SpeedUp – оптимизатор системного реестра. Если самостоятельно придумать пароль сложно, откройте вкладку Password Generator, задайте параметры будущего пароля и нажмите кнопку Generate.
За несколько лет напряженной борьбы со спамом было разработано множество технологий и создано большое количество разнообразных программ. В данной книге рассмотрены только некоторые из них, различающиеся принципом работы, так как описать все варианты невозможно.
Глава 9 Ребенок и компьютер
Компьютер и здоровье ребенка
Программы для ограничения времени работы на компьютере
Ребенок и Интернет
Программы контентной фильтрации
Этот раздел я считаю одним из самых важных в данной книге. У меня двое детей, за судьбы которых я, как любой отец, переживаю. Ребенок, взрослея, совершает ошибки, часто не обращая внимания на предостережения родителей, но если им не помогать осваивать мир, таких ошибок они совершат гораздо больше. Многие сегодняшние родители познакомились с компьютером, уже будучи взрослыми, часто из профессионального интереса, поэтому их опыт не может помочь детям. Компьютер покупается как средство для игр, ребенок уходит в виртуальный мир, а родители занимаются своими делами, радуясь, что он не курит и не шатается по подвалам.
Однако идиллия длится недолго, и придет время, когда взрослые сталкиваются с определенными проблемами. Это эмоциональное и нервное перенапряжение, замкнутость ребенка, проблемы со здоровьем, не говоря уже о том, что могут возникнуть трения с законом. Компьютер является помощником, но может стать врагом. Однозначного решения подобных проблем нет. Чтобы предпринять в отношении ребенка какие-то шаги, необходимо самому разобраться в вопросе. Ни в коем случае нельзя изолировать ребенка от компьютера только из-за собственного нежелания разобраться в проблеме. Компьютер, как любое другое достижение техники, стал неотъемлемой частью жизни, и устранить его невозможно.
Человек, владеющий компьютером, быстрее найдет работу. Многие подростки, на лету схватывающие новинки, уже в 14 лет могут неплохо заработать в областях журналистики, программирования, создания сайтов и пр. Никто не спросит у него паспорт, работодателя интересует только результат. Зачем лишать ребенка такого шанса? Может быть, достаточно просто активного участия?
Несмотря на все варианты использования компьютеров, можно выделить три основных направления: познавательное, игровое и коммуникативное. Крайность любого из них может привести к опасности:
• увлеченность компьютерными играми: крайний вариант – игромания;
• увлеченность познанием в сфере технологий и программирования: крайность – хакерство;
• увлеченность самими средствами сетевой коммуникацией: опасность – интернет-зависимость.
Данная книга компьютерная, поэтому смотреть на ситуацию будем с технической точки зрения, не вдаваясь в подробности. В этом вопросе я вижу как минимум две глобальные проблемы, которые можно решить с помощью программ: долгое нахождение ребенка за компьютером и доступ к информации, к которой ребенок еще не готов (как в качественном, так и количественном плане).
9.1. Компьютер и здоровье ребенка
Большинство взрослых, работающих за компьютером, в конце рабочего дня жалуются на неприятные ощущения – усталость, жжение в глазах и т. д. Взрослый, в отличие от ребенка, умеет контролировать время, кроме того, ребенок еще не сложился физически, психически и социально, поэтому многие проблемы, кажущиеся взрослому человеку несерьезными, в случае с детьми могут иметь неприятные последствия.
«Компьютерные» болезни
При постоянной работе за компьютером появляются специфические болезни: расстройство зрения (55–65 % пользователей), болезни центральной и периферической нервной системы (20–25 %), заболевания опорно-двигательного аппарата (остеохондроз, туннельный кистевой синдром, от которого страдали еще машинистки, и пр.) и сердечно-сосудистой системы. По данным сайта -doctor.ru/, к основным вредным факторам, действующим на человека, который работает за компьютером, относятся следующие:
• сидячее положение в течение длительного времени;
• воздействие электромагнитного излучения монитора;
• утомление глаз, нагрузка на зрение;
• перегрузка суставов кистей;
• стресс при потере информации.
Все синдромы «компьютерной» болезни были описаны еще в средние века врачом Галеном, который лечил монахов, занятых переписыванием «Слова Божия», и установил, что чаще всего они страдают ослаблением остроты зрения, нарастанием близорукости, а позже развиваются и нервные симптомы – дрожание рук и нарушение сна. XXI век добавил только специфику, причем признаки изменились не в лучшую сторону.
Экран монитора состоит из нескольких миллионов светящихся точек. Горят они неравномерно, чего человек не замечает, но его глаза улавливают. Перенося взгляд с экрана на клавиатуру, мы резко меняем условия освещенности, что только усугубляет ситуацию. Долго глядя на экран монитора, мы не даем глазам моргать, в результате чего веки не смачивают сетчатку, что приводит к нескольким проблемам сразу. Решая разнообразные задачи, приходится на близком расстоянии подолгу рассматривать выводимые на экране мелкие буквы, цифры и рисунки. В результате острота зрения быстро теряется.
Вынужденное сидячее положение, при котором напряжены шея, мышцы головы, руки и плечи, вызывает остеохондроз и сколиоз. Между сиденьем стула и телом образуется тепловой компресс, что ведет к застою крови в тазовых органах, и, как следствие, появляются неприятные болезни. Малоподвижный образ жизни часто приводит к ожирению. Работа с мышью и клавиатурой, при которой руки напряжены в кистевом суставе, и воздействие на нервные окончания пальцев приводят к кистевому синдрому, онемению и покалыванию.
О безопасности мониторов говорится много. В 1992 году с принятием стандарта ТСО’92 проблема вредного излучения монитора была практически решена (именно тогда исчезли специальные экраны, защищающие пользователя от излучения). Современные стандарты развили некоторые положения, однако основа осталась практически неизменной. Покупая современный монитор, в том числе использующий электронно-лучевую трубку, можно быть уверенным в его относительной безопасности. Проблемное место всех мониторов – боковые и задние стенки, где уровень электромагнитных излучений может быть повышенным. Изменяются также физические характеристики воздуха в помещениях с долго работающим компьютером: незначительно повышается температура, падает ниже нормы относительная влажность, увеличивается содержание двуокиси углерода, ионизируется воздух и скапливается пыль.
Можно сделать следующие выводы.
• Необходимо ограничить время пребывания ребенка за компьютером. Многие называют цифру 15 минут в день, но ее, как правило, удается придерживаться только в отношении детей младшего школьного возраста. Чем старше становится ребенок, тем труднее оттащить его от компьютера.
• Рабочее место должно быть хорошо освещено и удобно. Монитор желательно поставить в угол или к стене. В Интернете можно найти достаточно информации о том, каким должно быть рабочее место, с указанием параметров для каждого возраста. Однако дети развиваются по-разному, а в магазинах предлагается мебель стандартных размеров, поэтому правило одно: ребенку должно быть максимально удобно, он должен сидеть без напряжения, спокойно и расслабленно. Стул должен быть обязательно со спинкой. Сидеть ребенку следует на расстоянии не менее 50–70 см от монитора, взгляд должен находиться на уровне центра экрана. Посадка должна быть прямая или слегка наклоненная вперед, с небольшим наклоном головы, руки – свободно лежать на столе, ноги – не висеть, а стоять на подставке.
• В комнате, в которой стоит компьютер, систематически должна проводиться влажная уборка, помещение должно проветриваться. Цветы и аквариум будут способствовать улучшению физических характеристик воздуха.
Из этого списка наибольшую сложность представляет контроль общего времени, проводимого ребенком за компьютером, так как им можно пользоваться на занятиях в школе, дома, в гостях у товарищей, в компьютерных клубах. Здесь приходится полагаться только на сознательность ребенка. Хотя имеются программы, позволяющие ограничить время пребывания за компьютером (о них будет рассказано далее), их применение может вызвать отрицательную реакцию, поэтому здесь очень важна разъяснительная работа со стороны родителей.
Синдром компьютерных игр
Целью покупки большинства домашних компьютеров является использование их в качестве развлекательной платформы. В первую очередь это игры. Синдром зависимости от компьютерных игр до сих пор не исследован, и при его изучении можно столкнуться с противоположными мнениями, которые, правда, сходятся в одном: последствием долгих игр является эмоциональное и нервное перенапряжение.
Некоторые игры требуют быстрой ответной реакции, а кратковременная концентрация нервных процессов вызывает у ребенка утомление. Над созданием соответствующей игровой атмосферы работают лучшие специалисты. Играющий должен пройти игру вместе со своим героем. Игры открывают ребенку новый мир, в котором он является великим полководцем, космическим воином или спецназовцем, отмеченным большим количеством наград. Весь мир в играх агрессивно настроен к герою. Однако это в виртуальном мире, где возможно переиграть. В реальной жизни, столкнувшись с препятствиями, ребенок не сможет преодолеть их теми же способами, что в играх, и накопленный опыт ему не поможет. Там он командир, ведущий в бой солдат, а здесь – простой человек, вынужденный доказывать свою полезность обществу. Ему еще тяжело разделить мир на настоящий и искусственный. Как следствие, возникает замкнутость в себе и в своем виртуальном мире, где все так, как хочет он.
Находясь за компьютером, ребенок испытывает эмоциональный стресс. Проводя за ним много времени, ребенок не успевает делать все остальное, забрасывает учебу. Снижение успеваемости в школе – один из признаков, что пора принимать меры. Некоторые считают, что показатель успеваемости является хорошей мотивацией ребенка: если уровень ниже некоторого предела, ребенку запрещают работать за компьютером.
Главная ошибка – то, что к покупке компьютера может быть не готов взрослый. Ребенок говорит, что нужно купить компьютер, чтобы он мог играть, и компьютер дарится на день рождения. Чем конкретно будет заниматься ребенок, родителей интересует меньше. Ребенок оказывается предоставленным самому себе в виртуальном мире.
С самого начала нужно подчеркивать, что компьютер – это инструмент познания, обучения, орудие труда, средство коммуникации, а только потом – развлекательная система. Родителям, использующим компьютер в профессиональных целях, это объяснить легче: ребенок видит, что отец за компьютером именно работает, и относятся к машине как к инструменту вроде молотка, который может показывать мультики и игры, но только в свободное время.
Игры также бывают разные: существует целый набор игр, которые могут помочь в математике, языках, письме, развить логику; быстроту реакции и сообразительность; даже карточные игры не только не наносят урон психике, но и считаются полезными. Время сеанса в таких играх на порядок меньше, а игровой процесс в любое время можно прервать. Именно с таких игр, а не с убийства монстров следует начинать осваивать компьютер ребенку.
Если вам не безразлична судьба ребенка, обратите внимание на то, в какие игры он играет: желательно, чтобы он не мог скрыть, сколько времени он проводит за компьютером, который поэтому должен стоять в общей комнате. В этом случае вполне естественно, если вы будете вторгаться в его жизненное пространство, чтобы поинтересоваться, чем он занимается, поиграть вместе или просто поговорить. Интересуйтесь его впечатлениями от игры, а также акцентируйте внимание на впечатлениях от событий реальной жизни. Последнее особенно важно: необходимо ненавязчиво объяснять отличия игрового мира от реального. Ребенок должен понять сам, что жизнь более интересна и красочна, чем поверхностные впечатления от компьютерного мира.
9.2. Программы для ограничения времени работы на компьютере
Главной в распределении времени на работу за компьютером остается сознательность ребенка, а родители должны периодически напоминать ему о важности перерыва. Однако родители не всегда могут проследить за выполнением этих требований, например, находясь на работе, поэтому приходится полагаться исключительно на сознательность.
Один из моих знакомых разрешает сыну играть, только когда родители дома, и к этому времени он должен сделать уроки. В качестве контроля за выполнением этого правила он проверяет, какие программы запускалась в течение дня. Сделать это просто: достаточно выполнить команду меню Пуск → Поиск, выбрать категорию Файлы и папки, затем щелкнуть на фразе Когда были произведены последние изменения?, установить переключатель в положение Указать диапазон, в раскрывающемся списке выбрать пункт Открыт, в полях с и по задать текущую дату и в списке Поиск в выбрать все разделы жесткого диска. После нажатия кнопки Найти вы будете знать, какие файлы открывались в течение дня, и сможете сделать вывод, играл ли ребенок.
Однако обойти это так же просто, как и использовать, – можно сменить текущую дату, поэтому очень важно иметь полный контроль над системой. Если используется операционная система, основанная на ядре NT, то есть 2000, XP или Vista, создайте новую учетную запись. Для этого выполните команду меню Пуск → Панель управления, выберите категорию Учетные записи пользователей, затем Создание учетной записи, после чего в появившемся поле введите имя, в окне Выбор типа учетной записи выберите Ограниченная запись и нажмите кнопку Создать учетную запись. Работая под такой учетной записью, ребенок не сможет изменять системные параметры и повредить систему как случайно, так и в случае вирусной атаки при выходе в Интернет.
Используя одну из следующих программ, вы можете доверять компьютер ребенку, когда выходите из дома, не пряча сетевой шнур и не ограничивая доступ другим образом.
StopKids: сделай перерыв
Чтобы сохранить зрение, при работе за компьютером необходимо через определенное время делать перерывы. Этого правила часто не придерживаются взрослые, что уж говорить о детях. Программа StopKids поможет решить эту проблему. После установки она загружается в оперативную память и в зависимости от установок периодически отключает компьютер. Снова пользоваться компьютером можно только через указанный промежуток времени, а если попробовать запустить его сразу, программа определит это и не разрешит работать.
Приложение рассчитано на дошкольников и детей младшего возраста: дети постарше наверняка смогут его отключить. StopKids бесплатна, ее можно загрузить с сайта проекта . Программа проста в использовании, все параметры задаются в конфигурационном файле StopKids.ini, который находится в каталоге C:\Program Files\StopKids.
Откройте его в Блокноте, дважды щелкая на значке программы в файловом менеджере, и задайте следующие параметры.
[Setting]
Здесь задается имя ребенка
Name=Кирилл
Время работы за компьютером, по умолчанию 45 мин
MaxMinutes=30
Время до выключения компьютера (дается на закрытие программ),
по умолчанию 5 мин
OffMinutes=5
Время отдыха от компьютера, по умолчанию 15 мин
RestMinutes=10
Это все настройки. После их редактирования сохраните изменения и выйдите из программы. Теперь при выключении компьютера на экране появится сообщение с пояснением (рис. 9.1). Когда до выключения останется время, описанное в параметре OffMinutes, появится еще одно сообщение и через указанный промежуток времени компьютер выключится.
Рис. 9.1. Предупреждающее окно программы StopKids
Для отключения программы используется Волшебное слово. Рассчитать его просто. Если необходимо на время отключить программу, введите в поле число, равное сумме текущих часов и минут, а если вы хотите отключить автозагрузку StopKids, введите число, равное сумме числа месяца, часа и минут.
Властелин времени Time Boss
Это еще одна программа, назначение которой – управление временем работы пользователей, зарегистрированных в системе Windows. С помощью Time Boss можно также запретить запуск определенного вида программ (например, для работы в Интернете) или ограничить их использование по времени.
Принцип работы прост. Для определенных пользователей указывается лимит времени работы на компьютере или в Интернете, и как только этот пользователь превышает лимит, программа автоматически завершает сеанс его работы или закрывает программы, использующие Интернет. При этом возможно гибко задать лимит времени, указывая промежуток в течение дня либо распределяя время по дням недели. Реализован также режим невидимки, когда значок, обычно выводимый в области уведомлений, прячется, и пользователь не может просмотреть особенности работы программы.
С установленной частотой Time Boss делает снимок экрана, и вы всегда сможете знать, что было запущено в системе, то есть характер деятельности любого пользователя. Просмотрев журнал работы, можно узнать, сколько времени работала каждая программа.
Программа хорошо продумана, поэтому при ее использовании ребенок не сможет обмануть родителей.
Последние версии Time Boss платны, ее можно свободно скачать по адресу (/), и после установки она будет полностью функциональна в течение 30 дней. Хотя на некоторых файловых серверах еще доступна старая бесплатная версия, но она не поддерживает Windows Vista, в остальном отличий практически нет. После установки в области уведомлений появится новый значок. Щелкните на нем правой кнопкой мыши и выберите в контекстном меню пункт Main. Появится основное окно программы. Прежде чем приступать к распределению времени работы на компьютере, следует изменить язык интерфейса. Для этого выполните команду меню File → Options и в появившемся окне настроек Time Boss в раскрывающемся списке области Language выберите пункт time_Boss_russian.lng (рис. 9.2). Интерфейс программы станет русским. Разберемся с остальными настройками, которые можно выполнить в этом окне.
Рис. 9.2. Настройки Time Boss
Настройки Time Boss
В области Защита можно установить или снять защиту программы. Для активизации защиты нажмите Установить. Чтобы нельзя было остановить Time Boss, нажав во время загрузки системы клавишу F8 и перейдя в Safe mode (режим защиты от сбоев, при котором в память загружается минимальный набор программ), нажмите также кнопку Установить в поле Safe Mode Protect. Это займет некоторое время, но зато вы будете уверены, что программа будет работать всегда. В области Пароль установите флажок Включить и дважды введите пароль – вы защитили настройки паролем.
В Time Boss возможны два типа пользователей: Шеф и Раб. Первые имеют неограниченные права и могут осуществлять все настройки, определять списки запрещенных и разрешенных программ, просматривать статистику, а вторые – только просматривать настройки и журнал. Чтобы пункт Конфигуратор был убран из контекстного меню, то есть пользователь с правами Раб не мог просматривать настройки, установите флажок Убрать вызов «Конфигуратора».
Флажки в области Выходные дни позволяют указать дни, которые вы считаете выходными. Возможно, вы считаете, что в пятницу можно поиграть больше, а в воскресенье нужно готовиться к школе. Эта настройка понадобится для добавления времени использования компьютера в такие дни.
В области Программы использующие Интернет находится список исполняемых файлов программ, которые обычно используются для выхода в Интернет. Этот список нужен, чтобы вы могли контролировать выход ребенка в Интернет. По умолчанию здесь отображаются только веб-браузеры Internet Explorer, Opera, Mozilla и Mozilla Firefox. Чтобы добавить другую программу, введите название ее исполняемого файла (с расширением EXE). Например, введя icq.exe, вы сможете контролировать использование ICQ. Если для контроля за использованием Интернета применяется другая программа, установите флажок Выключить IE монитор: в этом случае информация о посещении интернет-сайтов не будет заноситься в журнал программы. Кнопка Подготовить к удалению убирает защиту, останавливает работу программы и позволяет удалить программу Time Boss с компьютера. Без нажатия этой кнопки удалить программу невозможно. Для удаления используйте пункт Установка и удаление программ в окне Панели управления Windows.
Остальные параметры отвечают за хранение журналов и снимков экрана. В областях Журнал и Снимки можно установить сроки хранения записей о событиях и снимков, указав необходимые значения в соответствующих полях. Кнопка Очистить все! позволит удалить записи в журналах и снимки. Можно также установить период времени, через который будут делаться экранные снимки, в поле Делать раз в … мин. Учтите, что если делать снимки часто, они могут быстро заполнить пространство на жестком диске.
Экранные снимки дополнительно можно дублировать, сохраняя их в другой каталог. Для этого установите флажок Включено в области Дополнительная папка для снимков и укажите папку, в которую будут сохраняться снимки. Когда все готово, нажмите Закрыть. Теперь можно распределять время работы пользователей за компьютером.
Конфигурирование Time Boss
Интерфейс Конфигуратора может быть двух видов: Простой и Расширенный. Переключение между ними производится в меню Файл. Первоначальные настройки рекомендуется производить в Расширенном режиме, а затем переключиться в Простой: все настройки сохранятся. В Простом режиме для настроек доступно два раздела параметров, в Расширенном – семь.
• Компьютерное время. Здесь задаются ограничения по времени работы на компьютере для каждого пользователя.
• Время в Интернете – указываются ограничения по времени для работы в Интернете для каждого пользователя, при этом компьютерное время имеет приоритет.
• Доступ к Интернет сайтам – здесь можно задать список разрешенных и запрещенных интернет-ресурсов: просто перетащите в нужное место адреса из Избранного или введите их вручную. Можно использовать «белый» список, состоящий только из этих сайтов (данный параметр работает только с Internet Explorer).
• Запрещенные программы – указывается список разрешенных и запрещенных программ для выбранного пользователя. Например, можно запретить запускать определенные игры или указать каталог или раздел жесткого диска, и все программы, находящиеся там, будут запрещены. Использование «белого» списка здесь несколько другое. Можно запретить все программы раздела в «черном» списке, а затем в «белом» разрешить нужные. Программы проверяются раз в минуту.
• Системные ограничения – здесь можно ограничить работу пользователя с некоторыми функциями Windows: сделать невидимым раздел жесткого диска или отдельную папку, отключить Панель управления, Диспетчер задач, Редактор реестра, возможность изменения даты и времени, закачку с помощью Internet Explorer. Например, отключив дисковод А, вы обезопасите компьютер от вирусов, принесенных на дискете.
• Разное – дополнительные настройки программы: вывод заставки, текст, предупреждающий об окончании работы, и время, за которое он будет выводиться, включение режима невидимки, установка автоматического выключения компьютера по истечении указанного промежутка вре мени.
• Призы – здесь можно указать одноразовое (призовое) время по работе за компьютером или в Интернете. Например, за хорошую учебу можно ввести дополнительный час, который ребенок сможет использовать в любое время.
Настройка времени работы
Рассмотрим подробнее настройку времени работы за компьютером в разделе Компьютерное время (рис. 9.3). Настройки в разделе Время в Интернете аналогичны.
Рис. 9.3. Настройки времени работы пользователя
Для начала перейдите на вкладку с именем пользователя, для которого будут производиться настройки. По умолчанию названия вкладок соответствуют пользователям, созданным в системе. Только Someone является именем, под которым программа контролирует всех пользователей, зарегистрированных в системе Windows и не добавленных в программу Time Boss. Пользователя Someone нельзя удалить. Если нужно добавить нового пользователя, нажмите кнопку Новый и введите нужное имя. Кнопки Переименовать и Удалить служат для изменения имени и удаления выбранного пользователя.
Сначала в области Главное переведите пользователя в категорию Раб, чтобы он не мог изменять настройки. Затем, чтобы знать подробности о работе выбранного в данный момент пользователя, в области Журнал установите флажок Включено и активизируйте все события, о которых хотите знать:
• Программы – запуск и остановка программ с указанием пути к исполняемому файлу и времени; эта функция полезна, особенно сначала, так как позволяет правильно настроить списки разрешенных и запрещенных приложений для работы в Интернете;
• Системные программы – запуск и остановка системных программ в большинстве случаев не нужна, но если ребенок хорошо владеет компьютером и попробует деактивизировать Time Boss, вы узнаете об этом;
• Интернет сайты – список посещенных веб-страниц может пригодиться для создания списков разрешенных и запрещенных сайтов;
• Снимки – автоматическое создание снимков экрана.
Если вас смущает, что вы подглядываете, установите флажки в области Журнал для предварительной настройки Time Boss, а затем, когда все программы будут внесены в список, отключите ведение журнала или отдельные функции, например создание снимков экрана.
В области Количество времени можно указать максимальное количество времени работы за компьютером за день и/или неделю, то есть, например, можно задать 3 часа в день и максимум 10 часов в неделю, а ребенок будет сам решать, когда ему использовать лимит. Это удобно, так как заодно приучает к планированию времени. Промежуток дня, когда разрешена работа, задается с помощью переключателя в области Временные границы. Здесь возможны три его положения:
• В любое время – пользователь может работать за компьютером в любое время суток;
• Только в промежутке – задается временной интервал, в течение которого пользователь сможет работать за компьютером: даже если он не успел исчерпать лимит, программа заблокирует доступ;
• В рамках расписания – выбором этого варианта вы помечаете время в течение дня, когда пользователь сможет работать за компьютером; перед сном лучше не играть, а выходные дни можно позволить ребенку играть и утром.
В области Бонус по выходным можно добавлять время в выходные дни. В области Осталось времени можно получить информацию о времени, не использованном в течение дня. С помощью трех кнопок справа можно добавить 15 или 30 минут и лишить пользователя оставшегося времени.
Журнал работы Time Boss
После настройки контроль работы всех пользователей производится с помощью Журнала. Журнал отображает моменты старта и финиша работы пользователей и программ. Доступ к нему имеют только пользователи с правами Босс. Открыть Журнал можно из окна Конфигуратора или из контекстного меню значка программы. Окно Журнала имеет четыре вкладки.
• Журнал – здесь показан запуск и остановка программ, выключение компьютера и использование Интернета. На панели слева выбирается пользователь, после чего, используя систему фильтров, можно быстро отобрать интересующие события (рис. 9.4).
Рис. 9.4. Журнал Time Boss
• Снимки – перейдя сюда, вы сможете просмотреть все экранные снимки, сделанные программой, а флажок Сжать снимок позволит просмотреть рисунок полностью. Используя кнопки слева, можно запустить автопроигрывание снимков.
• Статистика – графики статистики работы Time Boss (компьютера) и отдельных пользователей.
• Суммарная статистика – статистика работы за компьютером по Time Boss и отдельным пользователям за день, неделю и месяц.
Когда вы очищаете Журнал в окне Свойства, статистика пропадает, поэтому предварительно сохраняйте журналы и снимки, если считаете, что они вам понадобятся. Экранные снимки по умолчанию хранятся в папке C:\Program Files\Time Boss\Screenshots, их можно скопировать в другое место. Чтобы сохранить записи из Журнала, необходимо открыть страницу с требуемыми данными, выделить их и в контекстном меню выбрать пункт Копировать. Далее нужно открыть любой текстовый редактор (например, Блокнот или Microsoft Word), вставить в него данные и сохранить файл.
Time Boss не только сохранит ваши нервы, но и позволит ребенку научиться планировать свое время, приучит к дисциплине.
Примечание
Расширение к Firefox TimeTracker (-US/firefox/addon/1887) позволяет всегда быть в курсе проведенного в Сети времени.
9.3. Ребенок и Интернет
Собирая ребенка в школу, взрослые объясняют ему правила поведения и безопасности. Так же нужно поступать и при выходе в Интернет, только вместо ручек и тетрадей ребенку нужно давать с собой совсем другие инструменты: антивирус, брандмауэр, средства борьбы со шпионскими программами и спамом. На специализированных ресурсах часто можно встретить вопрос «C какого возраста можно разрешать ребенку выходить в Интернет?». Однозначного ответа на него нет, но и для трехлетнего ребенка в Сети можно найти много интересного и познавательного: чего стоит один вид на Землю из окна космического корабля!
Первые выходы в Интернет происходят в присутствии родителей, а в младшем школьном возрасте только с ними. Сначала взрослые играют важную роль в обучении детей безопасному использованию Интернета, а также формированию у ребенка определенных привычек. Необходимо объяснить ему элементарные меры безопасности, порядок пользования инструментами защиты, рассказать, почему нельзя открывать файлы, полученные от неизвестных корреспондентов, – все то, о чем было рассказано в предыдущих главах книги.
Опасности, подстерегающие ребенка в Интернете
У большинства людей Интернет ассоциируется с анонимностью, простотой доступа к информации, отсутствием границ и цензуры, безопасностью. Однако не все так просто. О некоторых опасностях было рассказано ранее, а об анонимности речь пойдет в следующей главе. Интернет является отражением реального мира, и все пороки и отрицательные явления встречаются и здесь. Легкость, с которой ребенок может получить любую информацию, должна заставлять родителей быть начеку. По данным сайта /, в Интернете ребенка могут подстерегать следующие опасности.
• Доступ к неподходящей информации: порнографии, пропаганде ненависти, нетерпимости, насилия, жестокости и дезинформации.
• Доступ к определенной информации может привести к тому, что дети совершат действия или купят товары, потенциально опасные для них. Существуют сайты, предлагающие инструкции по изготовлению взрывчатых веществ, продающие оружие, алкоголь, отравляющие и ядовитые вещества, наркотики, табачные изделия и предлагающие принять участие в азартных онлайн-играх.
• Притеснения со стороны других пользователей Сети (чаще всего злоумышленниками оказываются другие дети), которые грубо ведут себя в Интернете, оскорбляют и угрожают. Ребенок также может загрузить на компьютер вирусы или подвергнуться нападению хакеров.
• Дети могут выдать важную и личную информацию, заполняя анкеты и принимая участие в онлайн-конкурсах, могут стать жертвой безответственных торговцев, использующих нечестные, запрещенные маркетинговые методы.
• Ребенка могут обмануть при покупке товаров через Интернет, а также выдать важную финансовую информацию другим пользователям (например, номер кредитной карточки, пин-код и пароль).
• Киберманьяки могут преследовать ребенка с целью личной встречи.
Можно также добавить азартные игры, которые могут привлечь ребенка яркой рекламой, обещающей легкий и быстрый выигрыш, а также относительно новое явление – киберсуицид, о котором сегодня много говорят в Японии. В этой стране уже обратили внимание на сайты, описывающие, как покончить с собой, а также на массовые самоубийства с использованием данной информации.
Если дети старшего возраста могут сами найти запретные страницы, то маленькие дети могут попасть на подобный сайт случайно. При знакомстве с фармингом рассматривался такой вид атаки, как отравление DNS-кэша. Этот метод перенаправления пользователей используют не только фармеры, но и владельцы других ресурсов, заинтересованных в привлечении новых пользователей, поэтому, выбрав в меню Избранное адрес безобидного ресурса, ребенок может попасть совсем не туда, куда рассчитывал. Необходимо предусмотреть такую ситуацию и объяснить, как вести себя в этом случае. Если вы рядом – просто закройте окно браузера. Используя специальные программы, о которых будет рассказано далее, можно обезопасить ребенка от подобных сюрпризов.
Узнать, какие сайты посещал ребенок в ваше отсутствие, просто. Когда вы перемещаетесь по Интернету, любой веб-браузер ведет журнал последних посещенных сайтов. В Internet Explorer последних версий на панели инструментов есть кнопка Журнал, в Mozilla Firefox это кнопка History (История). Веб-браузеры создают также временные копии страниц, известные как кэш-файлы. Для просмотра таких файлов в Internet Explorer выполните команду Сервис → Свойства обозревателя, затем на вкладке Общие в области Временные файлы Интернета щелкните на кнопке Настройка и в области Папка временных файлов Интернета щелкните Просмотреть файлы. Вы увидите список сайтов, изображения и файлы Cookies.
Подобные возможности есть и в других браузерах, только следует помнить, что дети, неплохо владеющие компьютером, знают, как замести следы, поэтому более эффективный способ – создание четких правил и откровенное общение с ребенком.
Важно объяснить ребенку, что не все написанное и увиденное в Интернете является правдой. Приучите его спрашивать, если он в чем-то не уверен. Возьмите за правило обсуждать увиденное и прочитанное. Ребенку всегда захочется выделиться, поэтому, начитавшись о хакерах или, хуже того, найдя инструкции по изготовлению взрывчатых веществ или чего-то подобного, он, вероятно, захочет попробовать это в действии. Здесь без разъяснительной работы не обойтись, и если вы заподозрили что-то подобное, можно найти в том же Интернете факты, рассказывающие о последствиях таких деяний, – это поможет остудить горячие головы. Хотя в изучении технологий я ничего плохого не вижу: из такого ребенка может вырасти отличный системный администратор или специалист по безопасности.
Следует также помнить о плагиате и пиратстве. В первом случае ребенок, начитавшись приглашений на работу, может послать, например, статью в журнал, просто скопировав ее с какого-то сайта. В этом случае необходимо предупредить его, что редакторы ведут строгий контроль над статьями и, прежде чем напечатать их, сравнивают с аналогичными материалами. В Интернете много ресурсов, предлагающих бесплатно скачать фильмы, музыку, а также коды взлома к программам. Стоит рассказать, что далеко не всегда это делается бескорыстно, так как с программой могут прислать троянца. С другой стороны, известны случаи охоты за пиратами, когда специальные службы создавали подставной сайт и собирали информацию обо всех посетителях, а затем в прессе появлялась информация о том, что накрыта группа пиратов. Верить в это или нет – вопрос, но борьба с пиратством не прекращается, а пойманные могут испытать на себе довольно неприятные последствия.
Одну из наибольших опасностей Интернета связывают со службами мгновенных сообщений. В чатах можно в реальном времени общаться как со знакомыми, так и незнакомыми людьми. Последнее таит наибольшую опасность. Согласно статистике именно в чатах возникает большинство интернет-инцидентов, направленных против детей. Многие вообще не рекомендуют детям младшего возраста пользоваться чатами или общаться только в модерируемых чатах, то есть таких, за которыми ведется мониторинг. Анонимность общения может способствовать быстрому возникновению доверительных дружеских отношений. Преступники используют преимущества этой анонимности для завязывания отношений с неопытными молодыми людьми. Важно, чтобы ребенок знал, что человек, представившийся 14-летней девушкой, не обязательно является ею.
Интернет-зависимость
Сегодня много говорят об интернет-зависимости. До сих пор нет однозначного мнения по этому поводу, не определено, что конкретно следует понимать под этим термином. Одни считают, что такая зависимость существует и ее необходимо ставить в один ряд с игроманией и прочими подобными недугами, а поэтому нужно лечить. Другие говорят, что феномена интернет-зависимости как такового нет, шумиха вокруг преувеличена, а можно говорить только об общей зависимости человека от любого вида техники.
Например, вариант определения интернет-зависимости, состоящий из 75 позиций, предложен Всемирным центром анонимных нетоголиков. Несмотря на шутливый тон, некоторые пункты соответствуют серьезным диагностическим критериям. Вы интернет-зависимы, если верны следующие утверждения.
• Вам нужно 15 минут, чтобы прокрутить закладки в браузере на экране.
• Вы напряженно думаете, что бы еще поискать в Сети.
• Вы отказываетесь поехать в отпуск в местность, где нет электричества и телефонной линии.
• Проверив почту и получив сообщение «Нет новых писем», вы проверяете почту снова.
• Вы встаете в три утра, идете в ванную и проверяете почту по дороге обратно в кровать.
• Вы говорите таксисту, что живете на .
• Вы как раз подумали о том, не набрать ли этот адрес в браузере и не посмотреть ли, что из этого выйдет.
• Вы говорите детям, что они не могут сесть за компьютер потому, что «у папочки много работы» (в то время как вы вообще не работаете).
• Вы обходите свою комнату, обнаруживаете, что ваши родители куда-то уехали, и даже не представляете, когда и как это случилось.
• Сон для вас больше не связан с ночным временем.
• Выключая модем, вы испытываете ужасающее чувство пустоты, как будто вас только что бросил любимый человек.
• Вы начинаете использовать «смайлики» в обычной почте.
• Вы начинаете наклонять голову набок, чтобы улыбнуться :).
• Последний человек, с которым вы познакомились, был в JPEG-формате.
• Вы просите доктора добавить пару гигабайт к вашим мозгам.
Если прочитать все пункты, то можно обнаружить, что перечислен чуть ли не весь спектр негативных феноменов, связанных с применением Интернета.
У людей, подолгу сидящих в чатах, могут плохо развиваться коммуникативные способности, то есть в реальной жизни они боятся новых знакомств и чувствуют себя неуверенно. Вероятно, для общительного ребенка проблем здесь не будет, а вот застенчивым детям адаптироваться в обществе будет сложнее.
У интернет-зависимых людей вызывает раздражение каждая проблема, мешающая очередному выходу в Интернет. Для них характерны плохой сон, отсутствие физической активности и пр. Истина посередине – не следует забывать, что любое занятие в меру не вызывает проблем. Постарайтесь добиться баланса между физической и социальной активностью ребенка и сидением за компьютером. Вывод один: если надолго оставить ребенка одного, он в скором времени забудет о родителях и начнет жить самостоятельной жизнью, и будет ли с ним компьютер, не имеет значения.
Некоторые правила использования Интернета
В семье нужно определить, что является приемлемым при пользовании Интернетом, а что – нет. При этом поощряйте детей делиться впечатлениями, выходите в Интернет вместе, контролируйте ресурсы, которые посещает ребенок. Объясните, что разница между правильным и неправильным одинакова в Интернете и в реальной жизни. В Сети также есть хулиганы, мошенники, о которых много рассказывают по телевизору, и правила хорошего тона здесь тоже действуют. Чтобы предупредить возможные проблемы, следует выработать правила, довести их до сведения ребенка и следить за их выполнением.
• Никогда и ни при каких обстоятельствах не сообщать информацию личного характера: домашний адрес, номер телефона, место учебы и работы родителей, номера кредитных карточек, пароли Интернета, даже кличку собаки и пр.
• Не отправлять без разрешения родителей фотографии, как свои, так и членов семьи (через Интернет и с помощью обычной почты).
• Никогда без разрешения родителей не встречаться лично с друзьями, приобретенными в Интернете.
• Без разрешения родителей никогда не делать в Сети ничего, требующего платы.
• Если на ресурсе (в чате или игре) встретятся хулиганы, необходимо просто отключиться и вернуться позже либо перейти на другой ресурс.
9.4. Программы контентной фильтрации
Рассмотрим некоторые программы, позволяющие создать безопасную интернет-среду и защитить ребенка от информации, к которой он не готов.
Сторожевой K9 Web Protection
K9 Web Protection – простая в использовании система веб-фильтрации и ограничения доступа к веб-сервисам. Ее интерфейс не локализован, но это не мешает быстрому ее освоению. K9 Web Protection готов к работе сразу после установки.
При вводе адреса интернет-ресурса к внешней базе данных отправляется запрос. Все сайты в этой базе разбиты на 55 категорий, классифицируемых специальным рейтингом. Среди этих категорий есть сайты для взрослых, сайты, рассылающие шпионские программы, фишинг, рекламирующие алкоголь и сигареты, оружие, насилие и другие нежелательные ресурсы. Учитывая, что подобные сайты появляются в Интернете ежеминутно, информация в базе постоянно обновляется. Если запрос попадает под разрешенную категорию, пользователь даже не замечает фильтрации, в противном случае на экране появляется сообщение о блокировке ресурса (рис. 9.5).
Рис. 9.5. Блокировка «взрослого» веб-ресурса программой K9 Web Protection
Программа бесплатна для некоммерческого использования. Скачать ее можно с сайта проекта /. Для корректной работы необходим компьютер с установленной операционной системой Windows 2000/XP или Windows Vista, версия веб-браузера роли не играет. При загрузке нужно будет выбрать версию под используемую операционную систему.
K9 Web Protection перехватывает запросы и блокирует страницы в Internet Explorer, Mozilla Firefox, Opera и некоторых других браузерах. Во время установки потребуется ввести ключ лицензии, который можно получить, указав на странице действующий электронный адрес, на который и придет ключ. Кроме того, потребуется задать пароль администратора K9 Web Protection, который понадобится для доступа к настройкам и разблокировке страниц.
После установки программы на Рабочем столе появится ярлык, двойной щелчок на котором приведет к запуску веб-браузера с загруженной страницей :2372/. Этот же адрес появится в меню Избранное. Отсюда можно перейти к трем страницам:
• View Internet Activity – просмотр статистики работы в Интернете с указанием посещенных веб-страниц;
• Setup – настройки параметров работы K9 Web Protection;
• Get Help – справка (на английском языке).
Для доступа к настройкам и просмотру статистики необходимо ввести пароль администратора, созданный во время установки приложения.
Настройки K9 Web Protection
Вверху окна программы нажмите кнопку Setup, введите пароль – вы попадете на страницу настроек политик блокировки K9 Web Protection. Параметры сгруппированы в семь разделов. В разделе Web Categories to Block выбираются блокируемые категории (рис. 9.6).
Рис. 9.6. Страница настроек категорий блокировки веб-ресурсов
Имеется несколько предустановленных значений:
• High – режим максимальной защиты: блокируются все нежелательные категории, в том числе сайты, не имеющие рейтинга;
• Default – режим, используемый по умолчанию: блокируются все нежелательные категории, в том числе сайты без рейтинга «разрешены»;
• Moderate и Minimal – блокируются сайты для взрослых и Spyware;
• Monitor – все категории сайтов разрешены, но информация о посещенных страницах заносится в журнал;
• Custom – пользователь сам устанавливает нежелательные для посещения категории сайтов.
В разделе Web Site Exceptions указываются веб-ресурсы, которые должны всегда блокироваться (Sites to Always Block) или, наоборот, разрешаться (Sites to Always Allow) вне зависимости от остальных настроек. Нужно просто ввести адрес сайта в поле Add a site и нажать кнопку Add.
Установив в разделе Other Setting флажок Use Google SafeSearch, вы активизируете функцию безопасного поиска в Google. В результате при запросе не будут выводиться ссылки на ресурсы, содержащие порнографию и материалы явно выраженного сексуального характера.
Совет
Вы сами можете включить функцию Google SafeSearch, перейдя на страницу и выбрав вариант Строгая фильтрация, который появится справа от заголовка Безопасный поиск. Перед выходом не забудьте нажать кнопку Сохранить настройки. Чтобы Google SafeSearch работал, веб-браузер должен разрешать прием Cookies.
Раздел Time Restrictions позволяет указать время, в течение которого разрешено или запрещено выходить в Интернет. Нажмите кнопку Allow или Deny и укажите день недели и время, когда доступ должен быть соответственно разрешен или запрещен. Запрещенный период времени будет выделен красным цветом, разрешенный – серым. Можно сразу выделить область и нажать одну из кнопок. После внесения изменений нажмите Save Changes.
В разделе Blocking Effects задается реакция K9 Web Protection на блокировку страницы. При выбранном варианте Bark when blocked во время блокировки будет проигран звук, выбор Show admin options on block pages позволит отменить блокировку страницы, для чего необходимо будет ввести пароль. Область Time Out Settings позволит блокировать доступ ко всем веб-узлам, если в течение определенного промежутка времени была предпринята попытка посетить несколько неразрешенных ресурсов.
Раздел URL Keywords является вспомогательным, так как ресурсы отлично блокируются с помощью информации, занесенной в базу данных. Однако если вы обнаружите, что некоторые сайты проходят через фильтры, или захотите добавить свою категорию, то укажите на этой странице ключевое слово или шаблон. При совпадении с ним сайт будет блокирован.
Последний раздел, Change Password, позволяет изменить пароль администратора.
Просмотр статистики веб-серфинга
Нажав вверху окна кнопку VIEW INTERNET ACTIVITY, вы сможете просмотреть журнал веб-активности на компьютере. Предлагается два варианта просмотра.
• View Activity Summary – вы получите общую информацию по категориям веб-ресурсов, которые были посещены на компьютере, с указанием их количества и статуса просмотра (блокирован или нет) (рис. 9.7).
Рис. 9.7. Просмотр веб-активности с помощью K9 Web Protection
Щелчок на любой категории покажет более подробную информацию, включая время посещения и полный адрес запроса.
• View Activity Detail – аналогичная информация, но без сортировки по категориям.
Встроенный модуль ParentalControl Bar
Если для серфинга в Интернете вы используете обозреватель Internet Explorer или Mozilla Firefox, то можно порекомендовать еще одну бесплатную и простую программу, точнее, встроенный модуль к браузеру – ParentalControl Bar.
Домашняя страница, откуда можно ее скачать, – .
Как и вышеописанные программы, ParentalControl Bar может помочь родителям предотвратить доступ детям к сайтам для взрослых. Плагин поставляется с набором настроенных фильтров, основанных на сексуальных материалах, нецензурном языке, насилии и других критериях, позволяющих родителям выбирать различные параметры фильтрации. Программа также позволяет заблокировать или разрешить для просмотра любой конкретный сайт.
Во время установки нужно задать пароль, который позволит получить доступ к настройкам. Затем потребуется соединение с Интернетом. В результате в Internet Explorer появится новая панель (рис. 9.8).
Рис. 9.8. ParentalControl Bar
Кнопка, расположенная слева, позволяет получить справочную информацию. Если вы забыли пароль, выберите здесь Forget password, и на ваш почтовый ящик, указанный во время установки, будет выслан пароль. Параметр спорный: если ваш ребенок будет иметь доступ к почтовому ящику, он сможет получить пароль и снять защиту.
Следующий переключатель имеет два положения, соответствующие режимам работы:
• Parent-Mode – родительский режим без ограничений: для перехода к нему требуется ввести пароль;
• Child-Mode – детский режим, в котором действуют все ограничения.
Кроме списков критериев, составленных разработчиками, можно добавлять свои ресурсы. Для добавления текущего сайта в разрешенный список нажмите кнопку Add site to Safe List, для добавления в список запрещенных ресурсов – Block this Site. Другим вариантом является прямой ввод адресов в Change Parental Settings. В появившемся окне настроек находятся три вкладки. Две из них предназначены для изменения списков разрешенных и запрещенных веб-ресурсов. Вкладка Basic site filters позволяет задать категории сайтов, на которые не должен попасть ребенок. Выберите Block, чтобы сайты этой категории блокировались, или Allows – для отключения блокировки.
Живого общения с ребенком не заменит ни один компьютер и ни одна программа. Только общаясь, можно помочь ему найти правильный путь в жизни и избежать проблем. Как давно вы были с ребенком в кино?
Заключение
Наша экскурсия в мир опасностей компьютерной Вселенной подошла к концу. Надеюсь, она была для вас познавательной.
Виртуальный мир оказался не таким опасным, здесь можно найти информацию, друзей и пообщаться с родными, находящимися за сотни километров. Теперь вы во всеоружии, многое знаете и умеете.
После прочтения книги вы способны дать отпор хакерам, посягающим на ваш компьютер, и вирусам, пытающимся проникнуть через очередную «дыру» в системе. Шпионские модули, которые стремятся атаковать компьютер чуть ли не с каждого второго сайта, также не приживутся в вашей системе, и мошенники, пытающиеся заманить вас в сети, уйдут ни с чем.
Вы научились надежно шифровать важную информацию, чтобы она не стала доступной для посторонних. Спам не будет досаждать вам и засорять почтовый ящик. Случайно удаленные файлы или испорченный носитель также не будут неразрешимой проблемой: теперь вы владеете арсеналом средств, позволяющих восстановить его. Ребенок не сможет засидеться за компьютером или попасть на сайты, содержащие не предназначенную для него информацию.
Прочитав главы, которые находятся на компакт-диске, прилагаемом к книге, вы научитесь скрывать свое присутствие в Интернете и удалять «мусор», оставшийся в системе. Вы также узнаете, что выбрать и запомнить правильный пароль несложно.
Осталось пожелать, чтобы вам никогда не пришлось столкнуться с неприятными моментами, описанными в главах этой книги.
Успехов!
Примечания
1
В недавнем прошлом эта программа носила название All-in-One SECRETMAKER.
(обратно)
Комментарии к книге «Защита вашего компьютера», Сергей Акимович Яремчук
Всего 0 комментариев