Защита, встроенная в BIOS компьютера.

В BIOS ЭВМ тоже иногда встраивают простейшие средства защиты от вирусов. Эти средства позволяют контролировать все обращения к главной загрузочной записи жестких дисков, а также к загрузочным секторам дисков и дискет. Если какая-либо программа пытается изменить содержимое загрузочных секторов, срабатывает защита, и пользователь получает соответствующее предупреждение.

 

4.2. Дополнительные рекомендации по защите от вредоносного ПО.

Системный администратор всегда должен помнить, что вредоносная программа имеет в системе такие же права, что и пользователь, под чьим сеансом она активизировалась на зараженном компьютере (исключение составляют вирусы, использующие уязвимости системных сервисов, запущенных в режиме сервера, и имеющих полный доступ к системе). То есть, он может попасть во все каталоги, в том числе и сетевые, доступные этому пользователю, и поразить все возможные ресурсы данного пользователя в системе.

Исходя из вышесказанного, можно сделать вывод, что пользователь в повседневной деятельности должен использовать сеансы работы с ограниченными правами. Мысль сама по себе не нова, но увы, очень часто можно встретить рабочие станции (особенно под управлением ОС Windows), на которых по умолчанию настроен только один пользователь – администратор системы.

В литературе весьма настойчиво пропагандируется, что защититься от вирусов и другого вредоносного ПО можно лишь при помощи сложных (и дорогостоящих) антивирусных программ, и якобы только под их защитой вы можете чувствовать себя в полной безопасности. Это не совсем так – знакомство с особенностями строения и способами внедрения компьютерных вирусов позволяет вовремя их обнаружить и локализовать, даже если под рукой нет подходящей антивирусной программы. Давайте рассмотрим: какие дополнительные приемы борьбы существуют. Так как ОС Windows пока еще является наиболее распространенной операционной системой, то основная часть приемов будет относится к ней.

 

Дополнительные рекомендации по борьбе с Почтовыми вирусами.

Никогда не стоит открывать прикрепленные к письмам файлы, в случае получения писем со странным или подозрительным содержимым, даже если в качестве адреса отправителя прописан адрес вашего доверенного абонента. Компьютер абонента может быть заражен почтовым вирусом. Помните: спам так же может быть источником заразы!

Сегодня вирусописатели нередко используют приемы социального инжиниринга. Например, можно получить такое письмо:

 

От: <*****@****.**>

Кому: ********@******.*****.**

Тема: Привет от Иришки!

Приветик! Давно не виделись! Что молчишь? А помнишь как здорово было летом…

Я решила сделать тебе подарок. Отправляю тебе Flash-ролик, который я сделала о нас с тобой, и о нашем отдыхе. Просто запусти его, и наслаждайся…

 

К письму прикреплен файл «Privet.exe». Файл может оказаться трояном, действительно запускающим какой-либо медиа-ролик, и одновременно заражающим вашу систему, а может оказаться банальным зараженным исполняемым файлом, который в лучшем случае выдаст вам надпись, что программа-плеер не может быть запущена из-за системной ошибки. Наслаждайтесь J …

В любом случае, к подобным письмам нужно отнестись серьезно. Если письмо не вызывает интереса – удалите его. Если прикрепленный файл может быть вам нужен для каких-либо целей – проверьте его антивирусной программой (многие популярные почтовые сервисы сейчас дают такую возможность), при отсутствии такой возможности – сохраните файл с расширением «.txt», чтобы случайно не запустить его, и исследуйте при помощи какого-либо подходящего редактора.

 

Дополнительные рекомендации по борьбе с сетевыми червями, троянами, рекламным и шпионским ПО.

Программы данной группы должны иметь возможность самостоятельного запуска в системе. Исходя из этого, в ОС WINDOWS необходимо контролировать папку «Автозагрузка», ключи системного реестра, отвечающие за автоматическую загрузку программ, а так же загрузку дополнительных модулей сторонних разработчиков для некоторых программ.

Путь к папке «Автозагрузка» в Windows по умолчанию выглядит так:

 

…\Documents and Settings\ < Имя пользователя >\ Главное меню \Программы\Автозагрузка

где, < Имя пользователя > - имя домашнего каталога пользователя

или

 

…\Documents and Settings\All Users\Главное меню \Программы \Автозагрузка

 

папка автозагрузки программ для всех пользователей.

 

Имея права администратора системы, вы при помощи любого файлового менеджера можете добраться до содержимого этих папок. Либо войдите через меню: Пуск/ Программы/ Автозагрузка, но в этом случае вам будет доступна только папка текущего пользователя.

Корме того, возможен такой прием, как подмена ярлыка программы в папках автозагрузки. В свойствах ярлыка, в поле «Объект» Троян может прописать путь к требуемому запускаемому файлу, заменив «хозяина», или, что еще более эффективно, к командному файлу, запускающему как пользовательскую программу, так и вредоносное ПО.

Если при входе пользователя в систему удерживать нажатой клавишу «Shift», то программы из папок «Автозагрузка» запускаться не будут.

В Windows 9х можно найти строки автозапуска в системных файлах Win.ini и System.ini. Иногда троян изменяет их, добавляя ссылки на себя в секциях «run=» или «load=». Эти файлы расположены в директории Windows.

Ключи системного реестра можно проконтролировать с помощью редактора реестра regedit, (regedt32 в Windows 2000 и более поздних) или других подобных программ. При этом необходимо помнить, что повреждение реестра ведет к потере работоспособности операционной системы.

Нас интересуют следующие ключи системного реестра:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Run;

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \Run;

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \RunServices;

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \RunОnce;

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \RunServicesOnce.

Ключи, в наименовании которых присутствует слово «… Once», используются только в процессе инсталляции или деинсталляции программ, и при обычном режиме работы они должны быть пусты.

В операционных системах Windows серии NT (Win NT, Win 2000, Win XP) способы автозапуска программ в целом почти идентичны системам Windows 9x, однако имеется ряд разделов в реестре, специфичных только для этих систем.

Например, ключ реестра, указывающий адрес папки автозагрузки, общей для всех пользователей:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Explorer \User Shell Folders

параметр «Common Startup»

или, ключ реестра, указывающий адрес папки автозагрузки для текущего пользователя:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Explorer \User Shell Folders параметр «Startup»

В Windows серии NT могут иметь место дополнительные параметры автозапуска. В следующих разделах реестра:

HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion \Windows

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT \CurrentVersion\Windows

могут присутствовать строковые параметры Load (программы, запуск которых в нем прописан, загружаются минимизированными) и Run, в которые при установке Windows серии NT поверх Windows 9x переносится соответствующий список программ для автозапуска из аналогичных параметров файла win.ini.

К этим параметрам реестра применимы те же правила написания, что и к соответствующим параметрам win.ini. Если же наследования этого списка из предыдущей ОС не происходит, то по умолчанию значением этих параметров является пробел.

В разделе

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT \CurrentVersion\Winlogon

также содержится ряд строковых параметров, отвечающих за автозапуск различных приложений при входе пользователя в систему:

Userinit – определяет список программ, запускаемых процессом WinLogon в контексте пользователя при его регистрации в системе. По умолчанию это userinit.exe.

Shell – задает оболочку (список программ, формирующих пользовательский интерфейс) Windows. По умолчанию explorer.exe.

System – определяет список программ, запускаемых процессом WinLogon в контексте системы во время ее инициализации. По умолчанию lsass.exe.

VmApplet – определяет список программ или программу, запускаемую процессом WinLogon для оперативной настройки параметров виртуальной памяти. По умолчанию его значение: rundll32 shell32, Control_RunDLL «sysdm.cpl».

Для более аккуратной работы с обозначенными ключами реестра подойдет программа msconfig.exe (вкладка Автозагрузка), входящая в состав операционных систем Windows ХР, Vista, Windows 7. Найти программу можно в каталоге \WINDOWS \SYSTEM. Для информации о системе также подходит программа msinfo32.exe.

При запуске DOS-приложения в среде Windows систем происходит автоматическая обработка командного файла …\SYSTEM32\AUTOEXEC.NT, если в настройках свойств этого DOS-приложения не указан другой файл, в частности: winstart.bat или dosstart.bat.

Также необходимо обратить внимание на возможность автозагрузки программ с использованием сервиса системы «Назначенные задания». Программы, прописанные в списке заданий будут запускаться с менеджером заданий по соответствующему расписанию. Посмотреть список установленных заданий, а также добавить новое можно с помощью меню Пуск/ Программы/ Стандартные/ Служебные/ Назначенные задания - при этом откроется окно «Назначенные задания» со списком программ и расписанием их запуска. Папка, в которой содержаться назначенные задания – ...\WINDOWS\Tasks.

Для контроля автоматически запускаемых программ необходимо использовать соответствующие программы. Например, упомянутые ранее msinfo32.exe и msconfig.exe, или ПО сторонних разработчиков, например программу Starter.

 

Помимо вышеперечисленных способов автозапуска программ при загрузке системы или открытии сеанса пользователя, существует еще и такой вариант, как запуск исполняемого модуля одной программы при загрузке другого, вполне легитимного приложения.

Подобный подход можно наблюдать, например, при использовании утилит типа Adware. Обнаружить подобные модули вручную довольно сложно даже для опытного пользователя, поэтому полезно периодически сканировать систему не только антивирусным сканером, но программами типа «анти-Adware» (Например, Ad-aware Plus, Ad-Aware Professional, производства компании «Lavasoft» http://www.lavasoft.com/), призванными находить и удалять из системы эти модули. Такие программы обычно имеют в своих постоянно обновляемых базах данных информацию о десятках известных шпионских и рекламных модулях и даже троянах.

Еще один доступный способ загрузить программный код без ведома пользователя – с помощью подключенного плагина какой-либо программы, например, того же браузера Internet Explorer.

Файлы подключаемых модулей-плагинов Internet Explorer находятся в папке …\Program Files \Internet Explorer\Plugins, по свойствам каждого файла можно попытаться выяснить его предназначение.

Кроме того, вредоносная программа может прописать себя в системе как системный драйвер или сервис.

 

На этом мы завершаем краткое знакомство с методами поиска вредоносных программ на компьютере. В качестве резюме давайте вспомним следующие ключевые моменты организации защиты:

- Осуществлять ежедневную работу в сеансе пользователя с ограниченными правами, а сеансом администратора системы пользоваться только в необходимых случаях.

- Правильно сконфигурированный межсетевой экран может блокировать сетевой вирус, не дав ему возможности попасть на ваш компьютер, подключенный к сети, а также троян, желающий выйти с вашего компьютера в сеть.

- Основное правило при организации антивирусной защиты – берегитесь случайных связей, и не доверяйте никому. Любые файлы, принесенные извне, должны проверяться антивирусами. Во время работы на компьютере, особенно, если машина в сети, наличие в памяти антивирусного монитора обязательно. Периодически проверяйте сканером или инспектором все логические диски вашего компьютера. Не забывайте своевременно обновлять антивирусные базы.

 

Борьба со спамом

Каждый из методов борьбы со спамом, особенно сразу после появления, достаточно эффективен, однако ни один из них не является «абсолютным оружием». Поэтому воспринимать маркетинговые заявления компаний-производителей о том, что их средства способны блокировать до 99,9% спама, необходимо с осторожностью. Главное – необходимо понять, что со спамом можно бороться достаточно эффективно, но для этого необходимо применять комплексный подход, включающий меры как технического, так и организационного характера. Борьба со спамом должна быть частью политики информационной безопасности организации.

Обнаружить спам помогают следующие критерии:

- Спам-сообщение должно содержать рекламную информацию от заказчика рассылки, то есть произвольного текста в нем быть не может, смысловая нагрузка содержимого сообщения будет вполне определенной.

- Спам-сообщение должно легко читаться. Оно не может быть зашифровано, основной объем содержится в составе сообщения. Количество случайных последовательностей («мусора»), видимых пользователем, должно быть небольшим. При нарушении этих правил снижается читаемость, а следовательно, и отклик на рекламу.

Среди основных технических средств, обеспечивающих фильтрацию спама, наиболее эффективными являются специализированные спам-фильтры и различные системы контроля электронной почты.

Существуют два основных метода защиты от спама: защита от поступления спама на этапе получения почтовым сервером и «отделение спама» от остальной почты уже после получения почтовым сервером или клиентом (в зависимости от места установки фильтра) путем анализа содержимого письма.

Среди первого метода наиболее популярны такие способы как использование DNS Black List (DNSBL) или «черных списков», «серые списки» и различные таймауты при отправке почты; использование различных технических средств, таких как проверка существования пользователя на отправляющей стороне (callback), проверка «правильности» отправляющего сервера используя возможности DNS служб.

Среди методики анализа содержимого письма наиболее популярны такие методы как проверка по различным алгоритмам, таким как поиск особых ключевых слов рекламного характера или на основе теоремы Байеса. Алгоритм на основе теоремы Байеса содержит в себе элементы теории вероятности, изначально обучается пользователем на письмах которые по его мнению являются спамом и в дальнейшем выделяет по характерным признакам сообщения в которых содержится спам.

Разумеется существуют и другие способы защиты от спама, наиболее действенными, к сожалению на данный момент являются превентивные меры, такие как не доставлять свой реальный IP-адрес на сайтах, форумах и досках объявлений, используя для подобных нужд временные адреса которые в последствии можно удалить, в случае необходимости публикация e-mail на сайте вместо текста использовать графическое изображение и тому подобные меры.

Рассмотрим более подробно методы фильтрации электронной почты.

Черные списки (DNSBL). В черные списки заносятся IP-адреса, с которых производится рассылка спама. Широко используются такие списки, как списки «открытых proxy» и различные списки динамических адресов которые выделяются провайдерами для конечных пользователей. Благодаря простоте реализации использование этих black-листов производится через службу DNS.

Серые списки или Greylisting. Принцип действия серых списков основан на тактике рассылки спама. Как правило, спам рассылается в очень короткое время в большом количестве с какого-либо сервера. Работа серого списка заключается в намеренной задержке получения писем на некоторое время. При этом адрес и время пересылки заносится в базу данных серого списка. Если удалённый компьютер является настоящим почтовым сервером, то он должен сохранить письмо в очереди и повторять пересылку в течение пяти дней. Спам-боты, как правило, писем в очереди не сохраняют, поэтому спустя непродолжительное время, прекращают попытки переслать письмо. Экспериментальным путём установлено, что в среднем время рассылки спама составляет чуть больше часа. При повторной пересылке письма с этого же адреса, если с момента первой попытки прошло необходимое количество времени письмо принимается и адрес заносится в локальный белый список на достаточно длительный срок.

Эти два метода позволяют отсеивать около 90% спама еще на этапе доставки в почтовый ящик. Уже доставленную почту можно разметить средствами анализа содержимого письма. В настоящее время на рынке анти-спам систем представлены два основных типа фильтров:

- фильтры, работа которых основана на поиске в электронных письмах определенных признаков (так называемые, традиционные фильтры);

- фильтры, применяющие статистические (вероятностные) методы для обеспечения фильтрации спама.

И те, и другие осуществляют контекстную фильтрацию электронной почты, то есть по содержанию письма. Однако традиционные фильтры обладают довольно серьезными недостатками. Некачественное разделение спама и обычных писем обусловлено некоторой однобокостью традиционных фильтров. При отбраковке писем учитываются «плохие» признаки и не учитываются «хорошие», характерные для легитимной переписки.

Этих недостатков лишен метод построения анти-спам фильтров, предложенный американским программистом и предпринимателем Полом Грэмом (Paul Graham). Метод Грэма позволяет автоматически настроить фильтры согласно особенностям индивидуальной переписки, а при обработке учитывает признаки как «плохих», так и «хороших» писем. Такой метод фильтрации спама называют статистическим или вероятностным.

Статистический метод основывается на теории вероятностей и использует для фильтрации спама статистический алгоритм Байеса. Каждому встречающемуся в электронной переписке слову или тегу присваивается два значения: вероятность его наличия в спаме и вероятность его присутствия в письмах, разрешенных для прохождения. Баланс этих двух значений и определяет вероятность того, что письмо, в котором встречаются данные слова и теги, является спамом.

Как справедливо заметил Пол Грэм в своей статье A Plan for Spam, «… ахиллесова пята спамеров – их сообщения. Они могут преодолеть любой барьер, какой вы установите... Но они должны доставить свое сообщение, каким бы оно ни было». Иначе говоря, спамеры могут идти на любые уловки с IP-адресами и подгонкой текста сообщений, но, как мы отмечали ранее, смысловая нагрузка сообщения изменяться не может. Читать между строк покупатель не будет, значит спамеры должны написать в письме нечто понятное, призывающее нас к какому-то действию. Вот этот признак спам-сообщения и является основой для работы фильтров, основанных на статистических алгоритмах Байеса.

Для вычисления вероятности спама используются таблицы вероятности (принадлежности слов из письма, относящегося к категории «спам»), созданные в процессе обучения фильтра. А именно: берутся как минимум два списка слов различных категорий писем (например, «разрешенных» и «запрещенных») и передаются на обработку программе обучения. Она вычисляет частотные словари для каждой категории сообщений – сколько раз какое слово встречалось в письмах этой категории (в данном случае спама). Когда словари заполнены, вычисление вероятности принадлежности конкретного нового письма к тому или иному типу производится по формуле Байеса для каждого слова этого нового письма. Суммированием и нормализацией вероятностей слов получают вероятности для всего письма. Как правило, вероятность принадлежности электронного письма к одной из категорий на порядок выше, чем к другим. К данной категории и следует относить сообщение.

Сразу после начального «обучения» фильтра точность определения спама этим методом достигает значительной величины – 70-80% и продолжает двигаться в сторону 100% после проведения дальнейших корректировок фильтра.

 

Корректировка фильтра заключается в обработке случаев неправильной классификации писем – фильтру указывается, к какой категории следует впредь относить эти письма, и он добавляет слова из этих писем в соответствующие таблицы вероятностей. Обратите внимание – администратору нет необходимости вручную анализировать письмо и пополнять на основе проведенного анализа списки правил фильтрации, как это делается в традиционных фильтрах. Достаточно добавить письмо в архив писем данной категории, заново запустить процесс «обучения» фильтра и статистический «портрет» письма меняется полностью и автоматически.

Приведем основные отличия статистической технологии фильтрации от традиционной технологии фильтрации на основе признаков, присущих спаму:

- Особенность статистической технологии заключается в возможности индивидуальной автоматической настройки фильтра, что является важным преимуществом, поскольку разные люди или же компании (если фильтр устанавливается на корпоративном почтовом сервере) используют в электронной переписке разную лексику. Настройка фильтра производится по результатам статистического анализа имеющегося архива электронной почты или выборки, полученной за определенный период времени. Такой анализ дает возможность накопить достаточно информации для эффективной фильтрации электронной почты.

- И в том, и в другом случае результатом оценки является, так называемый, «вес» письма. Однако при применении метода с использованием признаков спама «вес» письма вычисляется только на основе «плохих» признаков, что приводит к «обвинительному уклону» фильтра, и, как следствие, появляются ложные срабатывания.

- В алгоритме Байеса наборы признаков определяются не субъективно, а в результате статистического анализа реальных подборок писем. Получающиеся наборы признаков оказываются весьма нетривиальными и эффективными. Например, в качестве «плохого» признака может появиться строка "0Xffffff" — ярко красный цвет; а в качестве «хорошего» признака – Ваш номер телефона. И действительно, письмо, содержащее Ваши персональные данные, в любом случае следует прочесть.

По имеющимся оценкам, статистический метод борьбы со спамом является весьма эффективным. Так, в процессе испытания через фильтр были пропущены 8 000 писем, половина из которых являлась спамом. В результате система не смогла распознать лишь 0,5% спам-сообщений, а количество ошибочных срабатываний фильтра оказалось нулевым.

Самое важное преимущество байесовского фильтра заключается в том, что он надежно исключает ложные срабатывания. Ведь процесс принятия решения (относится письмо к спаму или нет) осуществляется в соответствии с особенностями индивидуальной переписки, а при обработке учитываются признаки как «плохих», так и «хороших» писем. Именно за счет баланса этих признаков и удается свести к минимуму количество ложных срабатываний фильтра.

Другим преимуществом теоремы Байеса является возможность ее использования для классификации любых текстов письма по любым категориям, и поэтому он имеет более широкое применение, чем тривиальная фильтрация спама.

Таким образом, в настоящее время наиболее эффективным и оптимальным для корпоративных пользователей являются системы, основанные на статистических (вероятностных) методах фильтрации спама, например программа SpamAssassin. Данный продукт позволяет на основе алгоритмов Бейеса определять наличие спама и добавлять в заголовки писем соответствующие строки, а пользователь, на основе почтовых фильтров в почтовом клиенте, может отфильтровать почту в нужные папки почтовой программы.