Интернет-разведка. Руководство к действию - Евгений Ющук

Для обеспечения безопасности в случаях, когда пользователь подключен к Интернету, служат файрволлы. В персональном компьютере файрволлы обычно программные – то есть, это специальная программа, запущенная на вашей машине.

В больших сетях функции файрволла выполняют специальные отдельные устройства. Программный файрволл легче удаленно взломать, нежели «железяку», да и наладить выход в Интернет большого количества компьютеров значительно проще через отдельное устройство, к которому можно подключиться с помощью кабеля. Именно поэтому аппаратные файрволлы, как правило, и используются в организациях, где есть большие сети.

Слово «файрволл» (или, как еще говорят, «брандмауэр», а также «межсетевой экран») произошло от английского словосочетания «Пожарная стена». Так в старину называли кирпичные перегородки, разделяющие длинные деревянные здания на отсеки, и позволявшие уменьшить ущерб при пожаре.

Задача файрволла – контролировать весь трафик, как входящий, так и исходящий, а также порты, через которые он идет, и программы, которые его инициировали. В случае, если файрволл сталкивается с классической хакерской атакой, он может просто заблокировать действия злоумышленника и написать об этом отчет.

Если же файрволл видит попытку какой-то программы выйти в Интернет, не считая это однозначно отрицательным событием, он блокирует действия программы, которая собралась «выйти за пределы компьютера», и спрашивает пользователя, как поступить.

Собственно, может быть четыре вида возможных действий файрволла:

– разрешать выход в Интернет всегда без запроса дополнительных разрешений;

– запретить выход в Интернет насовсем;

– разрешить выход в Интернет однократно;

– запретить выход в Интернет однократно.

Если пользователь принимает какое-то постоянное решение по поводу работы конкретной программы, файрволл в дальнейшем выполняет это действие автоматически и больше не беспокоит человека вопросами. Для того, чтобы выразить свое волеизъявление, пользователю достаточно просто поставить «галочку» в нужном окошке, которое файрволл предупредительно открывает, когда спрашивает, как ему быть в той или иной ситуации. Если же человек выбирает однократный способ реагирования, то при попытке программы в другой раз выйти в Интернет файрволл вновь задаст вопрос и запросит решение пользователя.

Большинство современных файрволлов снабжено антишпионскими модулями, которые борются против программ, ведущих наблюдение за чужим компьютером, не предупреждая его об этом. Так, в начале 2006 г. нам довелось увидеть ничем не защищенный компьютер, ежедневно выходивший в Интернет. Владелец машины пожаловался, что каждый раз, когда он подключается к Интернету, какие-то программы начинают что-то в Интернет передавать. В общей сложности эта передача составляла порядка полутора мегабайт в день.

После установки системы Agnitum Outpost Pro на компьютере было обнаружено 994 шпионских программы, которые были антишпионским модулем удалены. После их удаления посторонний трафик прекратился.

Анализ показал, что часть этих шпионских программ была установлена сайтами, которые посещал пользователь (практически все эти ресурсы были более, чем сомнительного содержания), а другая их часть – самим пользователем. Такие программы с ведома хозяина компьютера инсталлируются, как правило, в составе бесплатных приложений – например, некоторых мультимедийных проигрывателей или дополнений к браузерам. Формально пользователь и впрямь самолично дает добро на их установку, когда принимает условия лицензионного соглашения при инстолировании. Примерно на четвертой странице из пяти, в середине этого текста обычно упоминается о том, что человек одобряет установку шпионского программного обеспечения, которое передает статистическую информацию «неличного характера». Возможно, создатели программ действуют с расчетом на то, что никто из пользователей, с их любовью к бесплатным программам, не дочитает текст документа до конца. Если так, то этот расчет оправдывается в большинстве случаев.

Такие программы обычно не передают никакой по-настоящему конфиденциальной информации вроде файлов или паролей, хранящихся на компьютере. Однако сведения о посещаемых владельцем компьютера сайтах передаются ими регулярно. После чего вниманию пользователя представляется реклама, в полной мере соответствующая его интересам. Пользователь же оплачивает трафик по передаче этой «неличной информации», который, как видно из приведенного примера, может быть не таким уж и маленьким. А при использовании медленного соединения с Интернетом этот шпионский трафик еще и сильно крадет время.

Один из самых популярных персональных файрволлов – это как раз программа Agnitum Outpost Pro. Она написана и поддерживается отечественными специалистами, поэтому полностью русифицирована и обеспечивается технической поддержкой на русском языке. Невысокая стоимость программы – в несколько сотен рублей, – на наш взгляд, делает Agnitum Outpost Pro незаменимым инструментом при работе на компьютерах под управлением операционной системы Windows.

Заканчивая разговор о файрволлах, отметим, что нельзя устанавливать на один компьютер более одного файрволла. Бытовая логика, согласно которой два файрволла вдвое усилят защиту, здесь оказывается ошибочной. На самом деле, они будут мешать друг другу и ни один из них в результате не будет работать корректно. Это при условии, что машина вообще сохранит работоспособность и способность выходить в Интернет. Поэтому, если вы решите установить файрволл Agnitum Outpost Pro или какой-то другой, то сначала отключите встроенный файрволл Windows и файрволл, встроенный в антивирусную программу, если таковой имеется.

Как бороться с вирусами и другими вредоносными программами

Вирус.Компьютерный вирус – это программа или программный код, введенные и запущенные на компьютере без ведома пользователя и приводящие к нарушению нормального функционирования системы, в том числе открывающие несанкционированный доступ к информации, записанной на машине.

Вирусы бывают загрузочными и файловыми. Загрузочный вирус «поселяется» в загрузочной части диска и активизируется при каждом запуске системы.

Файловые вирусы встроены в файлы программ, при этом в большинстве случаев программы сохраняют свою работоспособность.

В общих чертах механизм работы файлового вируса выглядит так: он запускается в начале или в середине работы программы, а затем передает команду тому файлу, которому положено передать ее при работе приложения в штатном режиме. В результате программа внешне сохраняет все свои свойства, но вирус активируется при каждой попытке пользователя ее запустить. Процесс запуска вируса настолько непродолжителен по времени, что пользователь просто не успевает его заметить.

Основные вирусы, создающие сегодня проблемы, – это Трояны и Черви. Трояны, в свою очередь, принято делить на похищающие пароли и на открывающие доступ к компьютеру. В последнем случае компьютер может превратится в «зомби», выполняющего команды удаленного пользователя.

Черви специализируются на массовой рассылке самих себя всеми возможными способами. Именно эти вирусы при попадании в машину направляются в адресную книгу, а затем создают электронные письма и рассылают сами себя по почте всем адресатам из адресной книги. Нередко Троян устанавливается своими создателями в связке с Червем, чтобы последний выступал в качестве транспортного средства для Трояна. В таком случае Червь вместе с прикрепленным к нему Трояном обеспечивает распространение этой пары на максимально большое число компьютеров, а последний выполняет разрушительную работу.

Нам приходилось наблюдать компьютер подростка, подключенный к Интернету в течение года и не защищенный никакими сервисами, предназначенными для борьбы с преступным программным обеспечением. Заплатки на операционную систему на нем также не устанавливались, поскольку копия операционной системы была нелицензионной. После установки на компьютер «Антивируса Касперского» было выявлено 460 вирусов. Половина из них была червями, а вторая половина – Троянами.

Клавиатурный перехватчик. Это группа программ, которые записывают в специальный файл все нажатия клавиш на клавиатуре. Они позволяют сохранить важный документ, если вдруг «упадет» текстовый редактор. Кроме того, эти программы помогают узнать, кто и как использовал компьютер в отсутствие его владельца. И как инструмент проверки лояльности персонала эти системы также могут быть востребованы.

Один из многочисленных представителей клавиатурных перехватчиков – GoldenKeylogger (http://www.goldenkeylogger.com). Файл журнала, в котором записаны перехваченные нажатия клавиш, может находиться где угодно в локальной сети, и получить к нему доступ реально в том числе и через Интернет.