Учебник по датамайнингу

Приложение №II. Безопасность

 Начало… » Содержание » Учебник по датамайнингу » Приложение №II 

      

 

Приложение № II.

Программы обеспечения безопасной работы в сети.

При работе в компьютерной сети вообще и при работе в сети Интернет в частности необходимо обеспечить безопасность своего компьютера и чужих компьютеров в ней. К сожалению, сетью пользуются не только добропорядочные граждане, но и преступники и просто не в меру любопытные граждане, которые "суют свой нос, куда не надо". Если Вы пренебрегаете средствами сетевой безопасности, в лучшем случае каждый месяц Вам придется ставить свою систему "с нуля", с потерей всех Ваших данных, а в худшем случае к Вам могут прийти представители правоохранительных органов.

App002.01. Угрозы безопасности для компьютеров в сети.

Основными угрозами безопасности в сети являются:

1. Вредоносные программы:
1. компьютерные вирусы (самовоспроизводящиеся и самораспространяющиеся программы);
2. черви (программы, блуждающие по компьютерным сетям);

троянцы (программа, выполняющая вредоносные действия, прикрываясь своей полезностью);

3. логические бомбы (программы, активирующиеся по какому-либо событию и уничтожающие информацию на компьютере);
4. программы back-door (снятия защиты);
5. кейлоггеры (программы перехвата ввода с клавиатуры);
6. различные программы из группы spyware (кражи личной информации);
7. addware программы (требующие показа ненужной рекламы);
8. руткиты (программы, выполняющие функции снятия защиты с компьютера, но при этом маскирующиеся под другие программы);
9. программы-черви, вызывающие DDoS атаки (Distributed Demand of Service – распределенная атака на сервер, вызывающая его отказ);
10. некоторые другие программы.

При этом вредоносные программы могут быть присланы как почтовые вложения, а могут быть без Вашего участия скачены из сети, используя бреши в защите операционной системе и ее недокументированные возможности.

Примечание: более подробно о вредоносной деятельности различных программ смотри здесь.

2. Программы для DoS или DDoS (Demand of Service, отказ сервиса операционной системы).
3. Атаки хакеров на компьютеры в сети.
4. Кража паролей и учетных записей.
5. Перехват информации о платежах в Интернет и снятия денег с Вашего счета.
6. Перехват сообщений в сети.
7. Спам (несанкционированная рекламная почтовая рассылка).
8. Баннерная реклама (рекламные изображения).
9. Увеличение трафика при соединении с Интернетом по разным причинам.

Все эти опасности очень серьезны, и требуют организационного и технического решения.

App002.02. Организационные меры по обеспечении безопасности компьютера.

Самыми эффективными являются организационные меры. Они просты, и включают в себя следующие пункты:

1. Не перегружайте компьютер лишними программами и данными, особенно для работы в сети. Помните о "бритве Окаммы"!
2. Не загружайте неизвестные программы и не открывайте письма от неизвестного адресанта.
3. Регулярно проводите резервное копирование Ваших данных и реестра Windows.
4. Не отключайте (по крайней мере, при работе в сети) аппаратную и программную защиту компьютера.
5. Не пытайтесь открывать неизвестные ссылки (особенно если они требуют для своего открытия порты протокола, отличные от 80 и 21).
6. Не открывайте архивы в письмах, особенно если они закодированы, и код к ним содержится в том же самом письме.
7. Не открывайте любые вложения с любыми с любыми расширениями, если система их опознает как исполняемые файлы.
8. Перед открытием вложения проверьте его антивирусом.
9. Никогда не отвечайте на подозрительные письма. Даже если в нем есть графа "отписаться", лучше ее не использовать – есть вероятность, что ответ направится роботу, проверяющему достоверность Вашего адреса.
10. Если Вас "замучили" письма, приходящие из одного адреса без Вашего согласия, не поленитесь и напишите о вредоносной деятельности адресата его провайдеру.
11. Никогда ни при каких обстоятельствах не сообщайте свои и чужие учетные записи и пароли, особенно по телефону. Даже если Вас об этом спрашивают правоохранительные органы – они должны направить официальный запрос.
12. Никогда ни при каких обстоятельствах не следуйте указаниям по телефону или электронной почте с требованием изменить учетные записи и/или пароль к ресурсу. Такие требования должны приходить только в письменной форме, в защищенном от просмотра конверте.
13. Пользуйтесь, хотя бы минимально, средствами программно-технической защиты Вашего компьютера. При этом защита не должна занимать много ресурсов компьютера.
14. Если Вы обратили внимание на сильно возросший от Вас трафик, периодические включения/выключения модема, слишком большом потреблении ресурсов компьютера системами обеспечения его защиты, отключитесь от сети и проверьте компьютер антивирусными и анти шпионскими программами.

App002.03. Технические (аппаратно-программные) меры по обеспечениию безопасности компьютера.

К программно-техническим методам защиты компьютера можно отнести:

1. Антивирусное программное обеспечение.
2. Брандмауэры (межсетевые экраны).
3. Анти шпионское программное обеспечение.
4. Программы блокировки баннерной рекламы.
5. Программы-фильтры спама
6. Программы контроля сетевого трафика.
7. Программы восстановления после сбоев.

Рассмотрим это программное обеспечение поподробнее.

App002.03.01 Антивирусное программное обеспечение.

Это программное обеспечение обязательно должно присутствовать на каждом компьютере. В него входят:

1. Антивирусный сканер вместе с лечащим модулем – для проверки системы на известные вирусы.
2. Антивирусный монитор – для обнаружения вирусов и лечения зараженных файлов на сменных носителях.
3. Модуль проверки входящей почтовых сообщений на вирусы.
4. Модуль проверки макросов на вредоносный код. Макросы могут быть как в файлах данных, так и в файлах сценариев (с расширением .VBS и .JS).
5. Модуль "эвристического анализатора" вирусов и постановки подозрительных объектов "на карантин".

Антивирусные программы способны распознать и обезвредить следующие программы:

• вирусы;
• логические бомбы;
• черви (частично);
• кейлоггеры (частично);
• троянцы (частично);
• программы back-door и rootkits (плохо).

Любая антивирусная программа, даже самая слабая, способна предупредить 80% всех угроз, исходящих от сети. К сожалению, ни одна из антивирусных программ не может обеспечить 100% защиты, поэтому ее нужно дополнять другими программами. Наиболее "действенным" дополнением является программный брандмауэр.

При выборе антивирусной программы следует обратить внимание на следующие факторы:

1. Антивирусная программа не должна отбирать у системы много ресурсов. Это сведет на нет ее полезность. К сожалению, именно по этому критерию явных лидеров среди программного обеспечения не имеется. Обидно, но коммерческие продукты (Kaspersky Antivirus, Norton Antivirus, Dr Web Antivirus) отнимают во время своей работы у системы много ресурсов.
2. Антивирусная программа должна удобно обновляться сама и обновлять свои антивирусные базы как можно чаще. Здесь у коммерческих программ конкуренции нет.
3. Лицензия на антивирусную программу должна обеспечивать ее стабильную работу длительное время. Здесь надо сказать, у бесплатных антивирусов нет конкуренции. Что касается некоторых коммерческих продуктов, то они предоставляют лицензию для работы программы в течение определенного промежутка времени, что очень не удобно.
4. Программа должна задавать как можно меньше вопросов пользователю, но также иметь гибкие настройки. В "идеале" этого нет ни у одной программы.
5. Программа должна отражать максимальное количество угроз. Этот пункт менее значим, потому что любая антивирусная программа способна отразить 80% угроз.
6. Программа должна работать стабильно, не вызывая нештатных ситуаций при своей работе.

Список антивирусных программ, присутствующих на рынке и рекомендованных автором для использования, представлен здесь.

App002.03.02. Программные брандмауэры (межсетевые экраны).

Назначение программных брандмауэров – ограничить входящий и исходящий трафик между внешней (Интернет) и внутренней сетями. Принцип его действия следующий:

• он блокирует передачу из внешней сети во внутреннюю сеть трафика, исходящего из определенных адресов. Этим отсекаются подозрительные ресурсы с сомнительным содержанием;
• он блокирует передачу из внешней сети во внутреннюю сеть трафика, проходящего по определенному порту. Большинство вредоносных программ и хакерские атаки производятся как раз через нестандартные порты;
• он блокирует передачу исходящего трафика определенных программ по определенным протоколам. Этим способом он блокирует распространение хакерских атак и вредоносных программ.

Брандмауэры способны отразить следующие атаки:

• хакерские атаки на компьютерные сети;
• программы и атаки DoS и DDoS;
• ограничить вредоносную деятельность следующих программ:
1. Руткитов (rootkits);
2. "Черного хода" (back-door);
3. шпионских программ (типа addware и spyware);
4. компьютерных "червей" (worms);
• частично блокировать спам и баннерную рекламу (при соответствующих настройках);
• могут предупредить о перехвате Ваших сообщений и при чрезмерном увеличении входящего или исходящего трафика.

Польза от брандмауэра столь очевидна, что операционная система Microsoft Windows XP обзавелась собственным брандмауэром. Но его функции ограничены только ограничением или блокировкой приема входящего трафика по некоторым портам. При этом исходящий трафик остается без внимания. Этот пробел восполняется внешними брандмауэрами, коммерческими и бесплатными.

К брандмауэрам должны предъявляться следующие требования:

1. Они не должны забирать много ресурсов от системы при своей работе.
2. Они должны задавать пользователю как можно меньше вопросов при своей работе. Это должно обеспечиваться различными "эвристиками" и предустановленными режимами работы;
3. Они должны обеспечивать отката внесенных ранее в него ограничений. По этому вопросу у всех брандмауэров, кроме встроенного в Microsoft Windows XP, самые большие нарекания;
4. Он должен надежно отражать внешние атаки на компьютер.
5. Он не должен конфликтовать с системой и антивирусными программами.
6. Лицензия на программный брандмауэр должна обеспечивать его стабильную работу длительное время.

Примечание автора. Необходимо отметить, что в Вашей системе может быть установлен только одна антивирусная программа и только один брандмауэр. Вследствие этого пользователь сам должен выбирать комплектацию антивирусной программы и брандмауэра на своем компьютере, исходя из следующих принципов:

• программной совместимости антивируса и брандмауэра между собой и с другими программами;
• политикой безопасности в сети, установленной Вашим системным администратором. Это – самое строгое ограничение на выбор программных продуктов;
• наличием унаследованных приложений и данных, по конфигурации которых определяется набор служебных программ;
• Вашими личными вкусами и предпочтениями, касающихся работы отдельных программ обеспечения безопасности, удобства работы с ними, их надежностью и устойчивой работе в различных ситуациях;
• (для платных программ) наличие авторизированных дилеров и сервисных центров по поддержке данных программ.

Не исключено, что вы переставите несколько программ, прежде чем достигнете нужного результата. При тестировании не надо обходить вниманием бесплатные антивирусы. Хотя они часто имеют низкие рейтинги, их отличает устойчивая работа, не требовательность к ресурсам и отсутствие лицензионных ограничений.

App002.03.03. Программы-фильтры спама

Как видно из названия этой группы программ, их основное назначение – отсекать ненужную рекламу и снижать почтовый трафик электронной почты. Программы-фильтры спама могут быть установлены как на стороне провайдера, так и в виде расширения на почтовом клиенте.

Вне зависимости от платформы, антиспамовый фильтр осуществляет следующие действия:

1. Анализирует сообщения на предмет наличия содержимого, характерного для спама. Если послание содержит текст, который может являться спамом, то его помещают в соответствующую папку;
2. Анализирует IP-адреса пакетов, по которым реализуется рассылка спама. Список узлов, занимающийся рассылкой спама, находится в этой программе и периодически обновляется из Интернета.
3. Блокирует послания, исходящие из подозрительных узлов Интернет, по требованию пользователя.

Достоинством антиспамового фильтра, установленного на стороне провайдера, является:

1. Уменьшается трафик между провайдером и клиентом, что положительно сказывается на балансе пользователя;
2. Пользователю не надо беспокоиться об обновлении баз данных программы: это делается на стороне провайдера автоматически.

Недостатком же антиспамового фильтра на стороне провайдера является неподконтрольность пользователю Интернет баз данных узлов с спамом. Поэтому, если какой-то узел был заблокирован фильтром на стороне провайдера, то послания с него не дойдут до пользователя (вернее, дойдут после долгой перепиской с провайдером, что снижает оперативность E-mail).

На рынке присутствует большое количество фильтров спама, с разной функциональностью и работающих на разных платформах с разными почтовыми клиентами. Простейший антиспамовый фильтр есть в почтовом клиенте Microsoft Outlook 2003. Для поиска конкретного, подходящего именно для Вас фильтра, используйте Интернет.

Обычно, после установки фильтра на почтовом клиенте, требуется его ручная настройка. Не поленитесь, прочтите руководство и настройте фильтр именно для Ваших целей. При правильной настройке программы-фильтра его эффективность повышается в разы!

App002.03.04. Программы блокировки баннерной рекламы.

Эти программы представляют собой дополнения к браузеру, которые блокирует изображения (баннерную рекламу) и всплывающие окна при загрузке в браузер страницы. При этом блокируется реклама, исходящая с определенных узлов и определенных адресов в Интернете. Эти программы обновляют свои базы данных только вместе с собой, так что проверяйте и загружайте новые модули этих программ, по мере их выпуска.

Конечно же, защита от назойливой рекламы находится теперь в любом браузере, и Вы можете не устанавливать эти расширения, а только правильно настроить параметры безопасности Вашего браузера. Но эти расширения позволяют это делать автоматически. Список программ-фильтров представлен здесь.

App002.03.05. Антишпионское программное обеспечение.

Как уже отмечалось выше, антивирусы не могут избавить от всех вредоносных программ, попавших на Ваш компьютер. Это происходит вследствие следующих причин:

1. Поиск вирусов и других вредоносных программ осуществляется путем распознания его сигнатуры (то есть соответствующих участков кода вирусов, остающегося неизменным от версии к версии вируса). Поиск по сигнатурам не защищает от так называемых стелс и полиморфных вирусов (которые прячут или модифицируют свой код), и для распознания этого типа вирусов используют так называемые эвристические анализаторы. Но ими анализируется в основном способность программы размножаться (для вирусов) или портить данные на диске (логические бомбы). При этом не анализируются такая деятельность программ, как сбор данных о системе и пользователе, передача их по сети и т.п.
2. После удаления вирусов из системы могут оставаться уязвимости, вызванные изменениями в реестре Windows. Используя эти бреши, в систему может быстро проникнуть другой вирус или троянец. Анти шпионские программы позволяют исправлять такие бреши.
3. Антивирусные программы часто не проверяют резервные копии, архивы, реестр Windows и конфигурационные файлы, в которые могут прятаться шпионские программы.
4. Некоторые программы распространяются RSS-агрегаторами. Поэтому удаленная антивирусом программа после подсоединения к Интернету вновь закачивается на свое место. Перекрыть подозрительный RSS-каналл способна только антишпионская программа.
5. Многие шпионские программы и руткиты, являясь вредоносными, но выполняющие полезные действия, по-определению не могут являться вирусами и не распознаются антивирусными программами.

Итак, антишпионские программы способны распознать и обезвредить:

1. Руткиты.
2. Программы "черный вход".
3. Троянцы.
4. Различные spyware программы.
5. Различные addware программы (частично).
6. Программы-взломщики браузеров;
7. Ликвидировать грубые бреши в защите компьютера в сети.
8. Ликвидировать "следы", оставленные после удаления вирусов и червей.

Следует отметить, что, в отличие от антивирусных программ, брандмауэров и антиспамовых фильтров, антишпионских программ на одном компьютере может быть установлено больше одной.

Антишпионские программы работают в основном как сканеры и фаги (то есть модули обнаружения подозрительных программ, их удаления из системы и удаление вызванных ими изменений в реестре Windows). В режиме сканирования они также удаляют файлы Cookie и другую информацию о посещаемых пользователем сайтов. Как мониторы (упреждающее удаление шпионских программ) может работать только ограниченное число антишпионских программ, но это редко бывает нужно – с атаками из вне вполне справляются программы брандмауэры.

Список антишпионского программного обеспечения можно просмотреть здесь.

App002.03.06. Программы контроля сетевого трафика.

Программы контроля трафика сложно назвать программами обеспечения безопасной работы в сети. Эти программы служат, прежде всего, для контроля времени соединения с сервером Интернета, объема переданного трафика и скоростью соединения с сетью. Но большинство программ осуществляют также мониторинг соединения с сетью, и показывает статистику по каждому соединению. Владея этой статистикой, можно определить, что:

1. У Вас резко возрос исходящий трафик, в ущерб входящему. Если у Вас не установлены P2P-программы (программа виртуального сервера), то это говорит об активизации шпионских программ на Вашем компьютере.
2. При высокой текущей скорости соединения по модему или по сетевой карте у Вас слишком медленно работает Интернет (открываются страницы браузера, снижается скорость закачки программ и т.п.). Это говорит о том, что в Ваш компьютер закачивается подозрительные вложения (баннерные рекламы, Cooke-файлы, троянцы, back-door и др.), или происходит работа руткита в Вашей системе.

Если у Вас появляются такие симптомы в работе компьютера, необходимо проверить его антивирусным и антишпионским программным обеспечением. Если же Вы постоянно посещаете сайты с обилием баннерной рекламы, или распространяющих вирусы, троянцы и руткиты, Вам необходимо будет поставить подавители баннерной рекламы, установить многофункциональный брандмауэр и следовать всем предписаниям работы в Интернет.

App002.03.07. Программы восстановления после сбоев.

Программы восстановления компьютеров после сбоя бывают очень полезны, когда Вы все-таки подцепите заразу из Интернета, или когда Вам нужно исправить последствия этого заражения. К программам восстановления после сбоя можно отнести:

1. Программы для резервного копирования данных пользователя;
2. Программы создания образов жесткого диска;
3. Программы для создания "слепков" системных областей диска;
4. Программы создания резервных копий реестра и точек восстановления в них.
5. Программы исправления реестра от изменений, вносимых вредоносными программами и некорректно удаленных пакетов;
6. Программы обслуживания жесткого диска;
7. Программы обеспечения целостности системы;
8. Программы восстановления удаленных файлов;
9. Программы копирования поврежденных файлов с дискет, CD и DVD носителей.

Для описания всех этих программ не хватит и объемной монографии, поэтому автор отсылает Вас к популярным специализированным журналам. Очень хорошие обзоры и результаты тестирования проводятся, например, в журналах "Мир ПК", "PC Magazine/RE", "Computer Build/RE".

См. Далее...

 

Далее по тексту приложения -->