В данной статье я изложу краткие принципы и способы, которые позволят вам, может и не полностью защититься, но хотя бы очень усложнить процесс проникновения на ваш компьютер злоумышленникам из интернета, хотя сразу оговорюсь, что абсолютной защиты не существует и вряд ли когда будет существовать.
Также в данной статье будут обсуждены некоторые аспекты человеческого фактора, часто используемые для атак на пользователей интернета.
Ну что ж, начнем с самого начала...
В некотором государстве (не помню, когда), жил был пипл по имени Билли...и придумал он сито по имени Вынь,
и стало сито массовым..., вот пожалуй и всё начало :).
В виду массовости распространения данных операционных систем (я говорю о Windows9x, если кто не понял еще) и очень большого количества дыр в них, средний пользователь интернета практически не защищен от внешнего воздействия, но все порядку:
Windows 9x:
Данное семейство операционных систем характеризуется практически полным отсутствием элементарной защиты данных
пользователя и неустойчивостью работы, но все зависит от того, как вы работаете с данной сисстемой. Вот один
совет: Не устанавливайте ничего лишнего на свой компьютер, время от времени чистите системный реестр и временные
папки от засорения специализированными утилитами.
Относительно данных ОС можно посоветовать нижеследующее:
+ Установить все update вышедшие на данный момент (хотя в исправлениях дыр всегда есть еще куча новых дыр, но
они хотя бы не так широко известны). Обновления можно найти здесь
или на сайте Windows Update. Устанавливайте
только те update, которые доступны на сайте производителя ПО, на других же сайтах вместо update вы можете получить
какой-нибудь вирус или троян.
+ При подключении к интернету (по модемному соединению) убрать все лишние протоколы и службы, такие как NetBios и служба сетей M$oft, оставив только ТСР/IP. Данная ошибка, с наличием локальной сети и выделенных общих ресурсов в сеть пользователем, может позволить просмотр, копирование и изменение файлов с удаленной машины. Также не стоит забывать о включенной в Windows возможности удаленного администрирования и ограничением на длину пароля в данном сервисе в 8 символов, что в сумме с неправильно выбранным паролем делает доступными злоумышленнику все диски данного компьютера для чтения и записи, например перебор пароля длинной 8 символов включающих в себя всю таблицу символов по сети 10 Мб занимает около суток без использования словаря, по этому, если вам по какой либо причине нужны эти сервисы, ни в коем случае не ставьте смысловой пароль и не предоставляйте полный доступ на общие ресурсы.
Windows NT, 2000:
1. Перво-наперво, как и со всеми операционными системами нужно установить самый последний update выпущенный
производителем ОС (так называемые service pack и хот фиксы к нему вот здесь:
Top Support Downloads Service Packs and Service Releases).
2. Выключить все неиспользуемые сервисы (особенно это касается Internet Services, таких как FTP, WWW,
сервиса удаленного управления реестром и др.).
3. Установите файловую систему NTFS, которая позволяет разграничить доступ к каждому файлу, находящемуся
у вас на диске.
4. Удалить все упоминание о пользователе Guest(Гость) или группе Everyone в установках пермишенс на
корневую и системную директории, запретить локальный и сетевой вход, для всех пользователей оставив
только используемых на данной машине, и желательно запретить доступ по сети для пользователя
Администратор.
5. Не использовать для повседневной работы пользователя Администратор, проводить аудит, если есть
возможность, всех действий Администратора и периодически проверять их на наличие несанкционированных.
6. Установить фильтрацию TCP/IP пакетов оставив открытыми только используемые порты (например, для того,
чтоб работал www сервер достаточно оставить открытым только 80 порт).
7. Не используйте автоматический ввод пароля при входе в систему, особено для пользователя Администратор.
Общие рекомендации:
1. На данный момент существует множество интернет пэйджеров типа ICQ, IRC
и других. ПОМНИТЕ, что ваши собеседники не обязательно относятся к вам мирно и лояльно поэтому, не
убедившись в этом, не выдавайте личной информации, которая может быть использована против вас или для
взлома вашего компьютера, почтовых ящиков и так далее. Желательно указывать о себе как можно меньше
информации только то, что необходимо и не более, иначе, основываясь на ваших данных, можно будет провести
атаку на пароль того же ICQ с помощью составленного словаря. Скрывайте все, что только можно и, конечно
же, свой IP. Не используйте дополнительных сервисов (таких, например как личная страничка в ICQ) так как
в них тоже очень много лазеек.
2. Многие сайты созданы специально для получения данных о посещающих их людях….вывод - не лезьте туда,
куда вам не надо или включите в обозревателе максимальную защищенность, т.е. без cookies и скриптов (про
ActiveX вообще помолчим, J последние проблемы с безопасностью браузеров
Netscape и IE, как раз были основаны на ошибках в ActiveX). Стоит задумываться, какие сайты могут
заслуживать вашего доверия, а какие нет, потому что веб сервер, используя множественные ошибки
операционной системы от Microsoft может делать с вашим компьютером практически все, что угодно.
Без проблем может выкачать у вас любой файл, и вы даже об этом можете так никогда и не узнать, что
конфиденциально важная информация стала достоянием общественности. По возможности используйте при выходе в
интернет анонимные прокси сервера (в любом поисковике по ключевому слову proxy).
3. Желательно установить какой-нибудь персональный firewall, который перекроет доступ к лишним портам
(AtGuard, ZoneAlarm, Outpost и.т.д.). С помощью firewall вы сможете контролировать доступ программ к
интернету.
4. Ни в коем случае не нужно забывать о таких элементарных вещах как обычный антивирус, что то вроде
Dr. Web, AVP,
Norton Antivirus и так далее. Имея последние обновления антивирусов можно предупредить заражение компьютера
каким-либо трояном или вирусом. Поэтому, помимо firewall рекумендуется и еще какой-нибудь резидентный
антивирус...
5. Самое опасное что может ожидать вас в интернете это конечно обыкновенная почта, иногда несущая в себе
"смерть". Уже достаточно давно, в компьютерном мире, существуют вирусы и трояны, которые распространяются с
огромной скоростью, посредством интернета и электронной почты. Последние из них, например "I Love You",
за считаные дни вывел из строя десятки тысяч компьютеров. Вирус считывал вашу адрессную книгу и отправлял от
вашего имени письмо содержащее в себе некоторый текст и скрипт который оседал в вашей системе, используя
ошибки в почтовом клиенте Outlook Express (вирус написан на языке Vbscript, технически его может реализовать
практически любой студент, изучающий этот язык програмирования), Outlook Express автоматически запускает
файлы, которые идут с письмом в attachment, не надо иметь много фантазии, чтобы понять чем это грозит.
Также стоит упомянуть вирус Klez,
который использовал уязвимость в защите IFrame, чтобы запускаться автоматически при просмотре заражённых сообщений.
Предотвратить это можно установив заплатку
любезно предоставленую Microsoft.
Чтобы вылечить уже зараженный компьютер можно воспользоваться утилитой
для лечения Klez (всех версий) предоставленную Лабораторией Касперского.
Ваш почтовый клиент - это следующая ступень вашей защиты после firewall и антивируса, я могу рекомендовать
почтовый клиент The BAT, который является одной из лучших программ своем классе, но не стоит забывать, что
и в нем были обнаружены уязвимости, которые использовал вирус - Stator.
6. Если у вас есть локальная сеть и есть зашаренные диски значит вы больше чем потенциальная жертва. Самые
примитвные сканеры обнаружат отрытые соединения и смогут подключить ваши ресурсы как сетевые диски. Вот такой
сервис можете по незнанию нам оказывать... А что бы этого не случилось обратите внимание на привязку
tcp/ip - dial up adapter и оставьте там только привязку к клиенту microsoft network и все будет ок.
7. Не стоит забывать о снифферах, с помощью которых ваши пароли могут стать достоянием общественности. Чтобы
защитить конфеденциальную информации нужно использовать программы шифрования трафика, такие как PGPNet которая
входит в комплект программы PGP Freeware.
Человеческий фактор
Часто при попытках проникновения на компьютер, почтовый ящик и т. д. , используются:
+ Не верьте письмам присланным от лица администрации каких либо сервисов в инетрнете с просьбой выслать
им пароль в следствии его утери или еще по какой причине (им проще поменять его и выслать вам новый);
+ Ни в коем случае не запускайте файлы присланные вам по почте, ICQ и т.д. без предварительной проверки
на вирусы (и даже после оной файлы, от сомнительных людей лучше подвергнуть тщательной проверке, например
с помощью антивируса с последним обновлением). Стоит очень хорошо подумать, прежде чем запускать что-то
пришедшее "от туда", вот один из самых примитивных способов:
В ICQ, методом социальной инженерии, "хакер" прикидывается девченкой и вступает с
жертвой в разговор, заинтресовав разговором он под каким либо предлогом устроит обмен фотографиями, только
жертва ему пошлет нормальную фотографию, а "хакер" пошлет обыкновенный троян со стандартной иконкой от
jpg файлов и кучей пробелов, но его последние 3 символа все таки будут запускными. Как только жертва
подаст команду, троян выполнит свое черное дело, заразив систему и распаковав из своего тела небольшую
фотографию. Жертва скорее всего не сразу догадается, о том что произошло, ну а последствия могут быть очень
серьезными...
Самые главные правила безопасности в линукс:
В кратце:
1. Ни в коем случае не работать в системе под логином суперпользователя, когда это требуется -
использовать команды su, sudo.
2. Закрыть ненужные сервисы.
3. Нужные сервисы прикрыть superdemon xinetd для xinetd.
4. Отредактировать файлы /etc/host.allow и /etc/host.deny.
5. Оптимизировать ядро под ваши конкретные потребности, перекомпилировав ядро.
6. Регулярно обновлять компоненты системы и отслеживать баги вашей системы.
7. Навечно отключить сервисы RPC и telnet (telnet нужно заменить на ssh и включить через xinetd).
8. Включите подробное логирование важных сведений в системе. Используйте программы обнаружения вторжения
и обыкновенный tail.
Старайтесь не выдавать сообщения при входе в систему вообще, а тем более с информацией о вашей системе. Знание версии и дистрибутива могут существенно облегчить задачу взломщику.
Запомните, root - единственный пользователь в системе, права которого система не ограничивает. Находясь в системе под этим аккаунтом, вы подвергаете систему серьезному риску, все программы, которые вы запустите, унаследуют неограниченные права. Если злоумышленник взломает одну из запущенных вами программ, то он может получить неограниченные полномочия. Для большей безопасности используйте пользовательский доступ (система ограничивает простых пользователей, контролируя их действия) и когда это необходимо, переключайтесь в режим суперпользователя командой su, sudo.
Ограничьте, до минимума, список пользователей которые, могут пользоваться командами su, sudo. Заблокируйте вход рута для всех удаленных сервисов, ограничьте список локальных консолей, в которые может зайти суперпользователь (/etc/seccure). Также подредактируйте /etc/login.defs, там проставляются параметры входа в систему посредством терминалов.
Linux - система класса SYSTEM 4. Это значит, что работа системных сервисов делится на 6 уровней
(runlevel) и каждый уровень соответствует директории, которые активируются и деактивируются симлинками.
Подробную информацию вы найдете в соответствующем руководстве.
От вас требуется запустить программу setup и выбрать системные сервисы которые вам нужно загружать на
текущем уровне, все остальные нужно отключить.
xinetd демон контролирует указанные порты, при обращени на какой либо, он проверяет права доступа к
данному сервису. При положительном исходе он активирует данный сервис. Сервисы ssh, ftp, dhcp, sendmail,
imap, pop3, portmap, nfs и некоторые другие можно запускать через сервис xinetd, соответственно настроив
файл xinetd.conf. Настраивая сервис, четко прописывайте, кто имеет право доступа к данным сервисам и по
возможности запускайте его не из под root.
Не рекомендую закрывать сервисы через xinetd : httpd, dns.
Для демона xinetd есть дополнительная защита в файлах host.deny, пропишите all:all, это запретит доступ всем ко всем сервисам тем, кто не разрешен в файле host.alow. Доступ следует прописывать соответственно: название сервиса и кому он будет доступен. Не открывайте сервис если это вообще не требуется, прописывайте доступ только тем, кому это требуется.
Перекомпилируйте ядро в соответствии с вашими аппаратными требованиями. Не включайте в него
необязательные или лишние компоненты, старайтесь переносить большую часть ядра в модули для уменьшения
его объемов.
Используйте стабильные версии ядра.
Следите за информацией bugtraq и обновляйте свои компоненты, следите за патчами.
Навечно выключите и забудьте о таких сервисах как, telnet, rpc, rsh, rlogin эти сервисы уязвимы для примитивного прослушивания пакетов, информацию и пароли они передают в незашифрованном виде. Обыкновенный сниффер с легкостью перехватит любую информацию и пароли, которые вы будете передавать посредством этих демонов. telnet замените на ssh, inetd замените на xinetd.
Включите точное логирование всех опасных событий в системе. Используйте сканеры проникновенний в систему, анализаторы сетевого трафика, и программы типа tail, например root-tail. Следите за логами.