Безопасность на IDF: как защитить ноутбук в публичной Wi-Fi сети
Редакция THG,  19 октября 2004


Немного истории

Можно сказать со стопроцентной вероятностью, что в мире почти нет пользователей, компьютер которых не подвергался бы хоть раз вирусной атаке. Исключение составляет разве что лично Билл Гейтс, но и он недавно признался, что пострадал в своё время от spyware-программ. Традиционные атаки вирусов, попадающих на компьютеры через электронную почту, это лишь одна сторона медали. Огромное количество владельцев компьютеров, подключённых к Интернету, в этом году пострадало от нового вида вирусных атак, проникавших на ПК прямо через Сеть. Помните, как многие ударились в панику и безуспешно пытались решить проблему путём переустановки Windows после того, как во время работы в Интернете внезапно возникало окошко с предупреждением о выходе из строя той или иной службы Windows. Более всего людей пугало сообщение о том, что через минуту ПК будет перегружен.

Это были первые признаки вирусной активности нового поколения. Для того чтобы заразиться, не нужно было принимать электронную почту или открывать какие-то файлы. Первым подобного рода удачным вирусом был LoveSan, также известный как MS Blast, который атаковал 135 порт. После выключения сервиса DCOM RPC этот вирус открывал 4444 порт и закачивал на ПК жертвы свое тело msblast.exe. Далее вирус запускался с уже заражённого ПК и сканировал подсеть на предмет поиска новых жертв.

Видя успех вируса, авторы вредоносных программ взялись упорно искать новые аналогичные дыры в системе Windows, и следующим популярным вирусом стал Sasser. Он получил даже большую известность, чем MS Blast, но в отличие от него атаковал 445 порт и выводил из строя сервис LSASS. При удачной атаке на 9996 порту запускалась консоль, и выполнялись все необходимые команды для закачки тела вируса с 5554 порта атакующего ПК. После закачки на заражённой машине поднимался FTP-сервер и начинался поиск жертв в подсети. Sasser был модифицирован несколько раз - в основном менялось тело вируса, а порты для запуска консоли варьировались от 9995 до 9998.

Всего через два дня после выхода вирусов в Сеть появлялись заплатки для Windows от компании Microsoft. Основной проблемой здесь стала масштабность распространения вируса. В те дни серверы обновлений Windows отзывались крайне плохо ввиду большой перегрузки сети. Кроме того, по данным антивирусных компаний, в момент пика эпидемии время жизни не прикрытого межсетевым экраном компьютера в сети не превышало пяти минут. Сейчас, с выходом Service Pack 2 для Windows XP, вероятность заражения этими вирусами сведена к нулю, при условии, конечно, что вы установили SP2 на свой ПК. Если же нет, придётся вручную закрыть на своем ПК порты 135,139, 445, 5554, 4444, 9995-9998. Это поможет уберечься от вирусных атак и жить спокойно до выхода новых вирусных партизан.

Со времени написания этих вирусов прошло уже более года, однако устаревший вредоносный код все еще даёт о себе знать из-за человеческого фактора и элементарной лени. В первые дни после начала атак только опытные пользователи смогли избежать заражения. Одним из простейших способов решения проблемы было использование межсетевого экрана (также известного как брандмауэр или firewall). В некоторых таких программах можно закрывать порты вручную, разрешая или запрещая системе работать с тем или иным портом, в более простых система сама определяет, что делать. Некоторые межсетевые экраны без проблем пропускали Sasser и MS Blast в систему - нам тоже пришлось столкнуться с такой ситуацией. Интересно, многих ли Sasser и MS Blast научили с ответственностью относиться к защите ПК?

Не обошлось без эпидемии вирусов и на IDF в Москве. Памятуя о проблемах, которые постигли большинство владельцев ноутбуков на форуме Intel для разработчиков в 2003 году, мы решились опубликовать небольшой материал, в котором по пунктам расскажем, как же именно защитить свой ноутбук от хакерских атак и вирусов на время работы в публичной беспроводной сети. Год назад сеть была буквально засыпана вирусами из неприкрытых компьютеров, что в итоге привело, во-первых, к просадке выделенного канала в Интернет, а во-вторых, на наших глазах немало ноутбуков прекратило функционировать под воздействием атак MS Blast. Пострадали даже некоторые наши сотрудники. Давайте не будем наступать на те же грабли во второй раз и позаботимся о защите собственных данных. Чтобы распечатать эту статью одним листом без обрамляющего меню, откройте эту ссылку.

Мы прекрасно понимаем, что легко снять с себя ответственность, посоветовав использовать для защиты полнофункциональные версии антивирусного ПО и брандмауэров, но также отдаём себе отчёт в том, что маловероятно, чтобы на форуме был бутик Лаборатории Касперского, где за наличность можно купить коробочные версии Антивируса и Антихакера Касперского. Поэтому исходить будем из предположения, что все, что у вас есть, это ноутбук с беспроводной картой и широкий канал выхода в Интернет.

Если на ваш ноутбук установлена Windows XP с пакетом обновлений Service Pack 2, то наша задача упрощается. По умолчанию эта система содержит активированный брандмауэр, и настроек понадобится меньше.

Как настроить брандмауэр в Windows XP Service Pack 2

По умолчанию этот брандмауэр включён. Но вы могли его выключить (случайно или преднамеренно), так что лучше ещё раз всё проверить. Переходим в "Панель управления", находим значок "Центр обеспечения безопасности" и в нижней части появившегося окна выбираем "Брандмауэр Windows". (Если "Панель управления" у вас находится в классическом состоянии, то сразу найдите значок "Брандмауэр Windows").

Как настроить брандмауэр в Windows XP Service Pack 2

Конечно же, брандмауэр должен быть включён - при этом должна стоять галочка "Не разрешать исключения", ведь мы находимся в публичной и опасной сети.

Теперь осталось проверить, включён ли брандмауэр для всех соединений. Для этого переходим на закладку "Дополнительно" и проверяем, стоит ли у беспроводного соединения галочка.

Как настроить брандмауэр в Windows XP Service Pack 2

Если Service Pack 2 не установлен

Допустим, вы не успели обзавестись вторым Service Pack или не устанавливаете его по идеологическим соображениям. Тогда самый простой и единственный легальный способ обезопасить себя - скачать "триальные" (то есть с ограниченным сроком действия, иначе говоря, демонстрационные) версии Антивируса Касперского и Антихакера Касперского. Разрабатывая новые версии, в Лаборатории думали и о владельцах мобильных систем. Антивирус Касперского пятой версии оптимизирован под платформу Intel Centrino, то есть, по данным разработчика, достаточно умён, чтобы не оказывать критического воздействия на и без того не бесконечные батареи ноутбука. К тому же, оба продукта изначально поддерживают русский язык, и, следовательно, настроить их будет проще.

Скачиваем Антивирус Касперского с триальным ключом по этой ссылке, а затем Антихакер Касперского по этой ссылке. Отключаемся от Интернета путём удаления из ноутбука карты Wi-Fi или отключения таковой другими способами. Зачем рисковать, продолжая находиться в Сети? Запускаем установку Антихакера. После инсталляции в панели задач появляется маленький значок:

Если Service Pack 2 не установлен

Нажимаем на него правой кнопкой мыши и открываем основной интерфейс программы:

Если Service Pack 2 не установлен

Если Service Pack 2 не установлен

Начинаем закрывать порты 135,139, 445, 5554, 4444, и с 9995 по 9998. Для этого нажимаем иконку в панели меню:

Если Service Pack 2 не установлен

Закрывание портов происходит следующим образом:

Если Service Pack 2 не установлен

Если Service Pack 2 не установлен

Если Service Pack 2 не установлен

Точно также закрываются все остальные порты.

Теперь устанавливаем Антивирус Касперского. После инсталляции в панели задач появляется маленькая иконка:

Если Service Pack 2 не установлен

Открываем её и настраиваем антивирус так, чтобы он постоянно проверял входящую почту и всю активность компьютера. По умолчанию антивирус предлагает постоянную проверку в среднем режиме нагрузки, систематическое обновление баз и скачивание из Интернета обычных баз.

Если Service Pack 2 не установлен

Постоянная проверка заметно снижает производительность, но обеспечивает высокий уровень защиты от вирусов. Также проблемой большинства ПК, работающих в Интернете, являются рекламные и другие "Трояны" (AdWare и SpyWare). Антивирус Касперского умеет детектировать и удалять эти вредоносные утилиты, проникающие в систему в процессе просмотра различных "левых" сайтов, при запуске генераторов ключей для нелицензионного ПО и других мелких "полезных" утилит, которые сотнями выходят каждый день. Чтобы антивирус мог удалить эти программы, необходимо подключить к нему расширенные антивирусные базы. Чтобы это произошло, необходимо зайти в это меню:

Если Service Pack 2 не установлен

Теперь осталась всего одна деталь - скачать самые последние версии антивирусных баз. Занимают они в сумме около 5 мегабайт и на выделенном беспроводном канале, который Intel развернёт на IDF, скачать их не составит проблемы. Если у вас рядом будет розетка и полтора-два часа свободного времени, рекомендуем провести полную проверку жёстких дисков компьютера на вирусы.

Несколько полезных советов

Установка антивирусного ПО и межсетевого экрана решает техническую часть проблемы, но не менее важен в данной ситуации и человеческий фактор. На каждый адрес, "засвеченный" в Интернете на протяжении хотя бы месяца, начинает приходить масса спама и вирусов. Их можно удалять прямо с сервера, детектируя по заголовкам. Грубо говоря, если отправитель письма вам не знаком, а в заголовке письма находится какая-нибудь ересь типа "RE: Ответ на ваше письмо" или "Бизнес без проблем srasr", рекомендуем сразу же удалять такие сообщения. Ничего нового из них вы, вероятно, не почерпнёте, а вот заразу подхватить можно без проблем. Кроме того, часто вирусы находятся в письмах объёмом 31, 41 и 18 Кб. Если вы видите в ящике десяток писем одинакового размера, с не очень сильно различающимися заголовками, то вероятно это спам или вирусы.

Если ваш почтовый ящик поддерживает не только POP3, но и IMAP, есть смысл перейти на этот, более удобный способ работы. Во-первых, в IMAP-ящике изначально поддерживается просмотр писем и их заголовков прямо на сервере. Во-вторых, эти письма останутся лежать на сервере до тех пор, пока вы не удалите их вручную, например, приняв на настольном ПК. А в-третьих, IMAP значительно более гибкая система, доступ к которой возможен не только с вашего компьютера, но и с любого другого с IMAP-клиентом, и ваши письма при этом не теряются. Вопрос лишь в объёме почтового ящика, но при должной чистоплотности в нём должны оставаться только нужные сообщения.

Пусть мы окажемся банальными, но позволим себе напомнить, что не нужно запускать исполняемые (EXE) файлы, прикреплённые к письмам. Это же касается фотографий обнажённой Анны Курниковой и других знаменитостей. Дважды подумайте, прежде чем запускать любое вложение, даже если кажется, что оно вполне безобидное. Также не стоит уходить по непонятным ссылкам на неизвестные сайты, и уж тем более подтверждать на них скачивание различных "плагинов" к Internet Explorer.

Что до уязвимостей и дыр в Internet Explorer, то есть неплохая альтернатива этому продукту Microsoft. Браузер Opera не только быстрее работает с кэшем в памяти и на диске, но поддерживает многопоточную загрузку содержания страницы. На широких выделенных линиях это порой даёт прирост производительности в несколько раз, так как браузер запрашивает с сервера одновременно все доступные на странице документы. Кроме того, в Opera встроен неплохой клиент электронной почты, браузер занимает меньше места в ОЗУ и имеет целый ряд других достоинств. Среди минусов - редкие сайты не оптимизированы под Opera, и может статься так, что вы увидите на экране совсем не то, что имели ввиду программисты портала.

Кстати, можно использовать не только Opera, но и другой великолепный альтернативный браузер - Mozilla. Скачать его можно по адресу www.mozilla.org.

Не используйте в публичных сетях клиенты P2P типа E-Donkey. Как правило, инсталляционные дистрибутивы, выложенные в Интернете, заражены огромным количеством троянского ПО. В нашей практике один исполняемый файл E-Donkey содержал 87 (!) троянцев. Как после такой инъекции вирусов в кровь системы работает Windows, лучше не знать.

В завершение

Помните, что закрывая свой ноутбук от атак из Интернета, вы не только обеспечиваете безопасность собственных данных, но и прекращаете делать зло окружающим. Дело в том, что после заражения вашего компьютера он может производить самые неприятные действия - рассылать от вашего имени спам и вирусы, пытаться заражать другие открытые ПК в локальной сети и запросто уничтожать доступные сетевые ресурсы до полной стагнации выделенной линии. Если каждый посетитель IDF перед тем, как выходить в сеть, проверит свой компьютер на вирусы и установит брандмауэр, велика вероятность того, что сеть будет работать именно так, как запланировали в Intel. В противном же случае, мы получим не демонстрацию технологий будущего, а шоу вредоносных программ.

КОНЕЦ СТАТЬИ


Координаты для связи с редакцией:

Общий адрес редакции: thg@thg.ru;
Размещение рекламы: Roman@thg.ru;
Другие координаты, в т.ч. адреса для отправки информации и пресс-релизов, приглашений на мероприятия и т.д. указаны на этой странице.


Все статьи: THG.ru

 

Rambler's Top100 Рейтинг@Mail.ru