Главная (Newsland) ☣ Ха - ха - хакер ☣ Безопасность 02: Безопасность компьютера (защита от вирусов)

24.10.2015 03:00

Безопасность 02: Безопасность компьютера (защита от вирусов)

Сперва аксиомы, потом обоснование:
1. Если автор вируса - специалист "экстра" класса, то о защите от его вирусов можете забыть.
2. Не считайте себя самым умным - во-первых есть умнее, во-вторых никто не является профессионалом во всем.
3. Выгода от взлома должна быть меньше чем усилия по этому взлому.

Итак, сперва ситуация в целом:
Перефразируя известную поговорку: "Программы бывают безопасные, функциональные и недорогие. Выберите два из трех".

ИТ-компании в погоне за клиентами обычно делают ставку на функциональность и минимальную цену. То есть на безопасность обычно всем насрать. Потому что безопасная программа пишется как минимум в 4-5 раз медленнее чем условно-опасная. Это значит, что во-первых нужно нанять программистов более высокого уровня, во вторых - платить за 5 часов работы вместо одного и в-третьих содержать "тестировщиков на взлом". По сути такой штат содержат только компании для которых безопасность критична или сверхкритична (например банки).

Таким образом во всех программах есть "быстро написанный" код содержащий уязвимости. Это значит, что зайдя на зараженный сайт, воткнув зараженную флешку или скачав зараженный файл Вы обязательно заразите компьютер.

Далее. Код вируса проник на компьютер. Чтобы исполняться ему нужно выбрать стратегию работы:
1. Исполняемый файл или отдельный компонент (библиотека).
2. "Прицепиться" к "законному" файлу.
3. Вообще ни к кому не цепляться и "висеть" в памяти.

После перезагрузки вирусу тоже надо перезапуститься. Здесь есть следующая стратегия:
1. Замена "законного" ярлыка запуска программы на запуск двух программ.
2. Автозагрузка
3. Запуск из зараженного приложения.

Типы атак:
1. Добавление информации.
2. Изменение информации.
3. Удаление информации.
4. Удаленное управление и эксплуатация.
5. Отказ в обслуживании.
6. Комбинация вышеперечисленных.

Итак пойдем по способам защиты:
1. Антивирус (любой) + регулярные каскадные проверки флеш-версиями лечащих утилит. Каскадная проверка означает, что качаются не менее трех флеш-версии лечащей утилиты не менее чем трех разных антивирусных компаний и компьютер последовательно проверяется всеми. Около 99,9% что вирусы вы вычистите.
2. Файервол. Если вирус не работает в режиме ядра, то внешние "сношения" можно обрезать. В файерволе даем доступ браузеру, программе электронной почты и мессенджеру. Остальное режем. Обновления (если используются): закрыли все программы - отключили файервол - обновились - включили файервол.
3. Прокси-сервер. Позволяет вычислить наличие зловреда в ядре (может сделать только эксперт).

Это - для всех. Теперь тонкости:
По стратегии работы. Если вирус:
1. Исполняемый файл или отдельный компонент (библиотека). Можно вычислить хорошим менеждером процессов. Единственный случай когда статья в шапке темы сработает.
2. "Прицепиться" к "законному" файлу. Есть такая штука - хеш таблицы. Для всех исполняемых файлов создаются не менее двух хешей по разным алгоритмам и периодически сравниваются. Хеши не сошлись - файл был изменен (или обновился или заражен).
3. Вообще ни к кому не цепляться и "висеть" в памяти. Очень сложно делается, но легко уязвим выключением питания (шнур-из-розетки). Может маскироваться подо что угодно и поэтому не обнаружим.

По стратегии загрузки:
1. Замена "законного" ярлыка запуска программы на запуск двух программ. Сразу же после запуска компьютера: Правая кнопка мыши на ярлыке - свойства. Смотрим строку запуска программы. Если есть что-то кроме адреса программы - поздравляю, в системе есть вирус. Пересоздаем ярлыки и перепроверяем.
2. Автозагрузка. Волшебной командой msconfig в пункте меню "запуск" открываем окно настройки загрузки, идем на вкладку автозагрузка. Убираем все, потом ставим галочки на антивирус и сохраняемся. Заодно комп быстрее запускаться будет.
3. Запуск из зараженного приложения. Тут надежда только на антивирус и на хеши.

Новый способ заражения компьютеров

Буквально неделю назад попался "зловред" который не вычищался ничем. Уже опустил руки и решил переустанавливать систему, но!!! Я его нашел. HTML5 позволяет хранить данные сайтов на компьютере пользователя (и это - не кэш браузера!!!) Вот в этих данных и сидел зловред. Ни один антивирус "врага" не обнаружил. Когда были очищены "сохраненные данные" зловред пропал.

Советы по безопасности
1. Операционная система и данные всегда должны храниться на разных дисках.
2. Важные данные должны быть одновременно минимум на 2-3 носителях информации. Архивировать "по науке" нужно ежедневно, еженедельно, ежемесячно и хранить не менее 3-х последних архивов.
3. Регулярно (не реже 1 раза в 6 месяцев) переустанавливать ОС с диска. Это не только "почистит" зловреды и мусор в систем, но и обнулит многие ошибки.
4. Используйте менеджеры паролей для создания сложных паролей для каждой учетной записи в интернете. Лучший менеджер паролей - записная книжка.
5. Отключайте опцию "скрывать расширения для зарегистрирвоанных имен файлов" и всегда проверяйте что именно скачиваете. Windows скрывает расширения и поэтому файл .mp3.exe с вирусом будет обязательно запущен, установит вирус и извлекет вместо себя музыку.