Раздел 1.

Информационная безопасность. Введение.

Здравствуйте! Прежде чем мы перейдем к глубокому изучению информационной

безопасности, я бы хотел рассмотреть несколько ее фундаментальных понятий. Я
советую прочитать эту главу всем, однако если Вы уже давно не новичок, то можете
просмотреть ее мельком или вообще пропустить. Для нович
ков в информационных технологиях этот раздел, также как и остальная часть книги,
будет служить фундаментом для вашей карьерной лестницы.
В современных компаниях особенно актуальна защита информации и
информационных систем от несанкционированного доступа {unauthorized access},
модификаций, сбоев и потери данных. Именно в этом заключается суть
информационной безопасности {information security}. В компаниях к этому вопросу
подходят настолько серьезно, что многие директоры по информационным технологиям
уже стали полноценными руководителями компании в виде главных директоров по
(информационным) технологиям {CIO - chief information officer; CTO - chief technology
officer}. Впрочем, не будем забегать вперед. Данная книга предназначена для тех, кто
желает начать или продолжить свою карьеру администратора защиты {security
administrator}. Должность сотрудника с такими обязанностями может называться
по-разному, но во избежание путаницы мы все же будем придерживаться только этого
названия.
Вся эта книга посвящена информационной безопасности. В ней описано как выявлять
риски и уязвимости в информационной системе, как их устранять или хотя бы снижать
до уровня, допустимого в вашей организации {a point acceptable to your organization}.
В первом разделе мы поговорим о некоторых фундаментальных понятиях
информационной безопасности и научим вас думать как хакер, и действовать как
администратор.
Итак, начнем…...

Основные темы
Информационная безопасность: начало начал {Security 101}
Первое, с чего стоит начать изучение, это то, что абсолютной или гарантированной
защиты не существует. Люди, могут сколько угодно придумывать красивые названия
для вещей, которые абсолютно защищены — в любом случае эти вещи утопичны, т.е. о
них можно мечтать, но нельзя достичь. Какие бы меры защиты мы не предприняли, их
всегда можно обойти или взломать.
Итак, когда вы поняли, что идеальных решений не существует, можно идти дальше - к
основам информационной безопасности, которые позволят нам создать базу для
начала целенаправленного снижения рисков.
Что такое CIA ?
Обычно в английском языке под CIA понимают ЦРУ, центральное разведывательное
управление. В информационной безопасности мы не подразумеваем государственную
безопасность, хотя компьютеры могут становиться объектом секретных операций. Для
защиты информации специалисты по безопасности следуют трем базовым принципам
информационной безопасности: конфиденциальность, целостность и доступность
{confidentiality, integrity, availability}. Соответственно, эти три слова складываются в
классическое сокращение – CIA triad или триада КЦД (см. рис. 1-1).

Следуя принципам конфиденциальности, целостности и доступности при работе с

информацией, можно эффективно защищать аппаратное и программное обеспечение
{hardware, software} компании, а также средства передачи данных {communications}.
Теперь, давайте попробуем рассмотреть каждый из этих принципов повнимательнее.
● Конфиденциальность— меры, исключающие раскрытие информации
посторонним лицам {unauthorized person}. В рамках государства
конфиденциальными данными являются паспортные данные, номера
водительских удостоверений, номера банковских счетов и пароли к ним, и т.д. В
рамках организации конфиденциальность может касаться не только
вышеуказанной информации, но и вообще всех данных. Организации
приходится тратить много усилий на то, чтобы обеспечить конфиденциальность
информации, т.е. на то, чтобы доступ к ней имели только те, кто должен его
иметь. Эта книга уделяет довольно много внимания обсуждению и описанию,
как этого можно добиться. Например, если Вы используете кредитную карту в
обычном или онлайн-магазине, во избежание компрометации {compromise}
номер кредитной карты подлежит шифрованию стойким шифром {to encrypt with
strong cipher}. Когда вы будете что-то покупать в следующий раз через Интернет,
обратите внимание на то, как обеспечивается конфиденциальность номера
 кредитной карты. Для вас, как для профессионала по безопасности, вопрос
конфиденциальности должен быть на первом месте. Обеспечивая
конфиденциальность данных, вы устраняете угрозы, ликвидируете уязвимости
и снижаете риски.
● Целостность означает, что в данные не вносились изменения. Для внесения
изменений в данные необходима предварительная авторизация. Например,
если человек злонамеренно {maliciously} или случайно удаляет файл, то
считается, что целостность этого файла нарушена {violated integrity}. Для того,
чтобы этого не произошло, для этого человека нужно было предварительно
установить права доступа {permission}. Совет: в некоторых компаниях никогда
не удаляют данные!
● Доступность означает, что компьютеры и сети могут обеспечивать доступ к
ресурсам. Доступность означает также, что данные можно получить независимо
от того как реализованы их хранение, доступ или защита. Кроме того,
доступность означает, что к данным должен оставаться доступ даже в момент
атаки {attack}, которая может быть нацелена на них.
Эти три принципа должны соблюдаться, если речь идет о безопасности аппаратного и
программного обеспечения, а также о средствах передачи данных. Именно о
соблюдении этих трех принципов должен всегда думать администратор защиты.
В ИБ есть еще одна жизненно важная аббревиатура — ААА. Она расшифровывается,
как аутентификация, авторизация и учет {authentication, authorization, accounting}.

● Аутентификация — процедура, при которой системой устанавливается и

проверяется личность пользователя. Обычно для этого требуется предъявить
определенный цифровой идентификатор {digital identity}, указать логин/пароль
или пройти какую-либо иную схему установления личности.
● Авторизация— процедура, при которой пользователь получает доступ к
определенным данным или пропуск в определенные помещения. Авторизация
выполняется после аутентификации и может быть реализована разными
способами, включая реализацию по разрешениям {permission}, по спискам
доступа {access control list}, по времени суток {time-of-day}, через установку
физических ограничений {physical restriction}, ограничений входа в сеть {login
restriction} и т.д.
● Учет— процесс наблюдения за использованием данных, за использованием
компьютера, а также за сетевыми ресурсами. Зачастую в это понятие входит
регистрация в сети, аудит и мониторинг ресурсов и данных. В современных
защищенных сетях наличие возможности вести учет становится важнее и
важнее. Отчасти это связано с обязанностью доказывания. Если вы кого-то
подозреваете в совершении злоумышленных действий, то вы, как специалист
по безопасности, обязаны предоставить доказательства. Ситуация, при которой
у вас есть на руках неоспоримые доказательства действий пользователя,
которые он не может отрицать, называется «невозможность отказа от
авторства» {nonrepudiation}.
Принцип AAA необходимо реализовывать в каждом разработанном вами плане
обеспечения безопасности системы {security plan}. Более того, существуют протоколы
проверки подлинности {authentication protocol}, основанные на механизме AAA. К таким
протоколам относятся RADIUS, TACACS и TACACS+, более подробно которые мы
будем рассматривать в разделе 8 «Физическая защита и модели установления
подлинности» Именно поэтому AAA может также означать и протокол. Кроме того, ААА
может быть еще и типом сервера, который используется в беспроводных сетях CDMA
{CDMA wireless network}. Вся информация о том, что такое AAA, зафиксирована и
оформлена в целом ряде документов RFC по адресу:
http://tools.ietf.org/wg/aaahttp://tools.ietf.org/wg/http://tools.ietf.org/wg/aaaaaa/

Основы защиты информации

Защита информации это меры по защите данных и информационных систем от
несанкционированного доступа {unauthorized access}, неправомерных изменений
{unlawful modification}, сбоев {disruption}, раскрытия {disclosure}, повреждения
{corruption} и уничтожения {destruction}. О защите информации мы будем говорить на
протяжении всей книги, но сейчас давайте поговорим о нескольких важных типах угроз,
про которые вам обязательно нужно знать, чтобы эффективно выполнять обязанности
администратора защиты
● Вредоносное ПО {malicious software} — или вредоносы {, сокр. malware}
включает в себя компьютерные вирусы {viruses}, черви {worms}, трояны {Trojan
horses}, шпионские программы {spyware}, руткиты {rootkits}, программы-рекламы
{adware} и прочие виды нежелательного ПО {unwanted software}. Несомненно,
все слышали истории о том, как компьютер какого-нибудь пользователя был в
той или иной степени скомпрометирован из-за вредоносного ПО.
● Несанкционированный доступ или НСД {unauthorized access} — доступ к
ресурсам и данным компьютера без согласия на то владельца. Сюда может
относиться приближение к защищаемой системе {approach the system},
проникновение в систему {trespass}, передача {communicate}, хранение {store} и
получение {retrieve} данных, перехват данных {intercept data}, а также любые
другие действия, которые могут помешать нормальной работе компьютера. Для
сохранения конфиденциальности {to ensure privacy} данных необходимо
контролировать к ним доступ. К несанкционированному доступу также
относится неправоме
● Системный сбой {рный административный доступ {improper administrative
access}. system failure} — поломка компьютера или сбой отдельного приложения
{application failure}. Причины могут быть разные — например, ошибка
пользователя {user error}, действия злоумышленника {malicious activity},
аппаратный сбой {hardware failure}.
● Социальная инженерия {social engineering} — действия злоумышленников,
направленные на то, чтобы спровоцировать пользователя раскрыть
конфиденциальную информацию или выполнить иные действия, которые
наносят пользователю ущерб. Вот один из примеров социальной инженерии:
почти каждый из нас регулярно получает письма от неизвестных лиц, которые
делают ложные заявления или просят персональные данные (и даже деньги!).
Многие технологии и методики защиты информации позволяют защититься или
восстановиться от реализованных ранее угроз. Возникает вопрос – есть ли у вашей
компании ресурсы для реализации этих технологий? Как правило, отвечают
положительно, даже при малых бюджетах на ИБ. Все начинается уже с разработки
плана, которое по сути не стоит денег.
В целом, администратору защиты следует разрабатывать проактивный план
обеспечения безопасности, который начинается обычно с внедрением защитных мер.
При составлении плана некоторые специалисты разбивают его по трем категориям
защитных мер {controls}:
● Физическая защита включает в себя системы сигнализации {alarm system},
камеры слежения {surveillance camera}, замки {lock}, пропуска {ID card},
охранников {security guard} и т.д.
● Техническая защита— включает в себя смарт-карты {smart card}, списки
доступа {access control lists, ACL}, шифрование {encryption}, проверку
подлинности на уровне сети {network authentication}.
● Административная защита— включает в себя политики и процедуры, тренинги
по повышению уровня осведомленности {security awareness} персонала,
планирование непрерывной работы организации {contingency planning}, а также
план аварийного восстановления {disaster recovery plan, DRP}.
Административные меры можно разделить на две части: процедурные меры
{procedural controls}, юридические и регулятивные меры {legal/regulatory
controls}.
Эти защитные меры используются для реализации триады КЦД -
конфиденциальности, целостности и доступности данных. Ниже мы приводим
несколько способов для предотвращения угрозы или скорейшего восстановления от ее
реализации:
● Повышение уровня осведомленности пользователей {user awareness} —
чем больше знает пользователь, тем надежнее система.
Тренинги и обучение сотрудников, понятные и легко доступные политики,
информационные письма о мерах безопасности, онлайновые ресурсы по
вопросам безопасности – все это помогает повысить уровень осведомленности
пользователей. Такие мероприятия помогают защититься от любых
вышеупомянутых угроз. Помимо того, что эти мероприятия довольно
малозатратны и эффективны, они еще и отлично работают при построении
защиты от атак через уязвимости {security attack}.
● Проверка подлинности {аuthentication} — процедура проверки личности
пользователя, защищающая от несанкционированного доступа. Эту
предупредительную меру можно разделить на четыре категории:
○ проверка, основанная на знании пользователя, например, на знании
пароля или PIN-кода,
○ проверка, основанная на владении предметом, например, на владении
смарт-картой {smart card} или токеном {security token},
○ проверка, основанная на биометрических данных, например, на
считывании отпечатков пальцев или сканировании сетчатки глаза,
○ проверка, основанная на действии пользователя, например, на
распознавании голоса или на выполнении подписи.
● ПО для обнаружения вредоносных программ {antimalware software} — ПО,
предназначенное для защиты компьютера от различного вредоносного ПО, а
также для его обнаружения и удаления. К такому ПО можно отнести
антивирусные программы {antivirus} и программы {antivirus}, для защиты от
шпионских программ {antispyware}. В качестве примера можно привести широко
известные продукты от компаний Symantec и McAfee, а также программы
Windows Defender и Spyware Doctor. На сегодняшний день многие программы,
заявленные как антивирусные, могут также защищать от шпионских и других
видов вредоносных программ.
● Резервирование данных {data backup} — Резервирование данных не
 прекращает нанесение им вреда, однако оно позволяет их восстанавливать
после атаки, компрометации или системного сбоя. В плане резервирования
данных вам помогут программы, начиная от пользовательских Windows Backup
and Restore Center, NTbackup и Bacula, и заканчивая программами для
корпоративных пользователей {enterprise-level program}, например, Tivoli и
Veritas. Обратите внимание, что отказоустойчивые механизмы, типа RAID 1...5,
хороши в плане предупреждения аппаратных сбоев, однако ненадежны в плане
повреждения или удаления данных. Мы вернемся к более детальному
рассмотрению этого вопроса в главе 14 «Избыточность. Аварийное
восстановление» {Redundancy and Disaster Recovery}.
● Шифрование {encryption} — процесс изменения информации в нечитаемый
текст по определенному алгоритму таким образом, чтобы ее мог прочитать
только тот пользователь, который владеет соответствующим ключом {key}.
Такой алгоритм называется шифром {cipher}. В качестве примеров можно
привести шифрование с помощью алгоритма AES сеансов беспроводной связи,
загрузку интернет-страниц через протокол HTTPS, шифрование электронных
писем по алгоритму PGP.
● Удаление данных {data removal} — правильное удаление данных это не просто
удаление файлов или форматирование диска. Проблема удаления данных
заключается в остаточной информации {data remanence}, по которой не очень
добропорядочные пользователи с помощью специальных инструментов могут
восстановить данные. Для гарантированного удаления данных в компаниях
обычно используют один из трех вариантов: программное удаление {clearing},
низкоуровневая очистка {purging, sanitizing} и физическое уничтожение носителя
{destruction}. Мы еще вернемся к этому вопросу и рассмотрим его более
внимательно в разделе 15 «Политики. Процедуры. Люди».
Разрабатывая продуманный план обеспечения безопасности, в котором будут
предусмотрены строгие меры по защите информации, специалист сможет качественно
снять угрозы до их реализации, или хотя бы, при самом неблагоприятном развитии
событий, быстро и эффективно восстановиться от последствий их реализации.
Самые лучшие планы обеспечения безопасности включают в себя большинство или
все эти меры, комбинируют их, выстраивая многоуровневую или глубокую защиту
{defense in depth}. Под такой защитой понимают такую структуру и последовательность
защитных мер, при которых данные защищаются на протяжении всего цикла их жизни -
возникновение {inception}, использование {usage}, хранение {storage }, передача по
сети {network transfer} и, наконец, уничтожение {disposal}.

Думать, как хакер

Я, конечно, не одобряю любые вредоносные действия, но для того, чтобы думать, как
хакер, нужно хорошо знать его образ мышления. Хороший хакер понимает, о чем,
думает администратор информационной безопасности во время разработки плана
защиты компьютеров и сетей. Однако справедливо и обратное – грамотный
администратор в курсе того, что и как делают хакеры.
Задайтесь вопросом – почему человек решает стать хакером? Для многих
злоумышленников причиной такого решения служит желание просто быть лучше
других пользователей. Для других — причиной является жадность, а хакерство в этом
случае – просто незаконный способ получить деньги. Есть хакеры, которые убеждены
или верят в то, что они выполняют какую-то миссию, а есть те, кто просто хочет иметь
бесплатно доступ к фильмам и музыке. Наконец, есть хакеры, которые просто любят
творить хаос и анархию. Планируйте защиту компьютеров с учетом этого
обстоятельства — они могут стать объектом атаки просто так. Разумеется, эти
специалистов называют по-разному: хакеры, крэкеры {cracker}, киберпреступники
{cyber-criminal} и т.д. Как бы Вы их ни называли, общепринятое название для них в
среде специалистов по информационной безопасности — хакер.
Запомните еще одну вещь: не все хакеры наносят вред. Это действительно так. Есть
разные типы хакеров. В разных организации их могут называть по разному, но в целом
наиболее популярны следующие варианты:

● «Белый» хакер или white hat не наносит вреда. Таким хакером может быть,
например, компьютерный специалист, который пробует взломать компьютерную
систему перед ее официальным запуском. В основном, у такого специалиста
заключен договор о таком взломе с владельцем ресурса. Белые хакеры часто
связаны с этичным взломом {ethical hacking}. «Этичный хакер» является
экспертом в области взлома компьютерных систем {breaking into systems} и
может их атаковать с согласия и по запросу владельцев. Этичный хакер
выполняет «тест на проникновение» или «тест на вторжение» {penetration test,
intrusion test} чтобы получить доступ к целевой сети {target network} или
системе.
● Черный хакер или black hat — хакер, наносящий вред и предпринимающий
попытки влезть в компьютерные системы без разрешения {without authorization}.
Именно черные хакеры занимаются кражей личности {identity theft}, пиратством
{piracy}, мошенничеством с кредитными картами {credit card fraud} и т.д. За
такие преступления предусмотрены довольно суровые наказания, и черные
хакеры об этом знают, поэтому помните, что если Вы с ними свяжетесь – они
могут быть очень опасны, особенно, если загнаны в угол. Разумеется, многие
из них пытаются как-то приукрасить термин «черный хакер» и придать ему
некий шарм, чтобы он не выглядел не так опасно. Однако, для вашей же
безопасности мы будем называть вещи своими именами, т.е. в данном случае
черный хакер — это злоумышленник.
● Серый хакер или gray hat — пожалуй, самый непредсказуемый тип людей в
мире. Это люди, которые работают сами по себе, независимо ни от какой
компании. Однако иногда они идут против законов и пытаются взламывать
системы. В случае успеха, они уведомляют администратора о том, что взлом
прошел успешно – просто, чтобы администратор знал об этом. Примечательно
то, что они не наносят вреда, за исключением самого факта взлома {breaking
in}. Иногда серым хакерам предлагают устранить уязвимости защиты {to fix
security vulnerabilities} за деньги, в таком случае их еще называют наемниками
или зелеными хакерами {green hat}.
● Голубой хакер или blue hat — специалист, которого некая компания просит
взломать ее компьютерную систему {to hack into a system}, но при этом
компания не нанимает его официально. Компания исходит из того, что такому
специалисту просто нравится взламывать системы. Как правило, такие хакеры
привлекаются при тестировании систем.
● Элитный хакер {elite hat} — это хакер, который первым выявляет уязвимости.
 По оценкам специалистов, только 1 из 10 000 хакеров может считаться
элитным. Как правило, все лавры за выявление уязвимостей на самом деле
достаются не ему, а тем, кому просто нужна слава. Многих элитных хакеров
вообще не волнует известность, и более того — многие из них вообще
предпочитают оставаться анонимными, что, вероятно, вполне разумно. Мы
крайне не рекомендовали бы Вам попасть в число врагов элитных хакеров, т.к.
если они захотят, они в считанные часы смогут нанести серьезный ущерб
большинству сетей и программ.

Как мы уже говорили ранее, абсолютно защищенных систем не существует. Хакеры

знают это и рассчитывают на это. Администраторы и атакующие обречены на вечное
противостояние: первые постоянно выстраивают защиту со все более хитроумными
ловушками, а вторые постоянно их обходят или взламывают. Чаша весов постоянно
перевешивает то в одну, то в другую сторону. Хакер ищет способ, как попасть в
систему, а администратор — как не допустить этого. Затем хакер ищет другой способ
атаки и так далее. Помните, как начинаются споры про курицу и яйцо? Здесь
примерно то же самое - кто начинает первым? Ответ: надо смотреть по ситуации. Мы
намеренно заканчиваем эту статью этим шутливым вопросом-ответом, чтобы вы сами
убедились в том, что нужно всегда быть начеку, всегда просматривать журналы {to
review logs} событий, всегда использовать как можно больше защитных мер, всегда
быть в курсе последних атак и способов снижения рисков {to mitigate risk}, и, наконец,
никогда не недооценивать возможности и силы хакера.

Задания для подготовки к экзамену

Повторение важнейших тем

Повторите важнейшие темы данного раздела, их список и ссылки на них приведены в
таблице 1-1.

Таблица 1-1. Важнейшие темы 1-го раздела.

Наименование Описание

Рисунок 1-1 Что такое CIA ?

Маркированный список Определения конфиденциальности,

целостности и доступности.

Маркированный список Определения аутентификации,

авторизации и учета.

Определения важнейших терминов

Дайте определения следующим терминам. Проверьте ответы по глоссарию.
Информационная безопасность, конфиденциальность, целостность,
доступность, невозможность отказа от авторства, аутентификация, авторизация, учет,
глубокая защита, этичный хакер.

Вопросы

Дайте ответы на следующие вопросы. Правильные ответы находятся в конце этого

раздела.
1. Назовите три основных цели информационной безопасности.
(Выберите три наиболее подходящих варианта)
A. Аудит
B. Целостность
C. Невозможность отказа от авторства
D. Конфиденциальность
E. Оценка рисков
F. Доступность

2. Чей образ мышления важно понимать при защите от атак

злоумышленников {malicious attack}?
A. Хакера
B. Системного администратора
C. Злоумышленника-обманщика {spoofer}
D. Аудитора

3. Сергей отправляет в разные компании множество электронных

писем с защищенной информацией. Что должно быть реализовано,
чтобы иметь возможность доказать, что именно Сергей отправляет
письма?
A. Аутентификация
B. Невозможность отказа от авторства
C. Конфиденциальность
D. Целостность

4. Какой из нижеследующих терминов на букву А присутствует в

аббревиатуре CIA, если речь идет об информационной безопасности?
Выберите наиболее подходящий вариант.
A. Accountability (подотчетность)
B. Assessment (оценка)
C. Availability (доступность)
D. Auditing (аудит)

5. Какой из указанных рисков наиболее велик, если речь идет о

съемном носителе {removable storage}?
A. Целостность данных
 B. Доступность данных
C. Конфиденциальность данных
D. Подотчетность данных

6. Какой из нижеследующих терминов на букву I присутствует в

аббревиатуре CIA, если речь идет об информационной безопасности?
A. Insurrection (восстание)
B. Information (информация)
C. Indigestion (нарушение)
D. Integrity (целостность)

7. Представьте, что Вы разрабатываете план обеспечения

безопасности компании. Что из указанного ниже является примером
физической защиты?

A. Пароль
B. План аварийного восстановления
C. Пропуск
D. Шифрование

8. Когда система полностью защищена?

A. После обновлений
B. После оценки уязвимостей
C. После устранения всех аномалий {anomaly}
D. Никогда

Ответы с пояснениями
1. B, D и F. Три важнейших цели в информационной безопасности —
это конфиденциальность, целостность и доступность (они же КЦД или
триада КЦД). Еще одна цель информационной безопасности –
подотчетность.
2. Ответ A. При планировании защиты от атак злоумышленников
нужно думать, как хакер, а после этого выстраивать защиту как
администратор информационной безопасности.
3. Для того, чтобы Сергей не мог отказаться от факта отправки
электронных писем, необходимо реализовать концепцию
«невозможности отказа от авторства».
4. В аббревиатуре CIA под буквой А подразумевается availability
(доступность), т.е. доступность данных. Сама аббревиатура означает
«конфиденциальность, целостность и доступность». И хотя accountability
(подотчетность) важна и нередко включается как четвертый компонент
триады КЦД, этот вариант не является наиболее подходящим. И
оценка, и аудит важны при выявлении уязвимостей, ведении и
просмотре журналов событий, однако к триаде КЦД они не относятся.
5. Ответ C. Для съемных носителей наибольший риск возникает в
отношении конфиденциальности данных, т.к. такие носители можно
легко снять, вынести из здания и скопировать данные. Несмотря на то,
что в триаде КЦД другие факторы тоже важны, кража съемного носителя
информации может полностью раскрыть данные, что и является самым
большим риском в данной ситуации.
6. Ответ D. Буква I в аббревиатуре CIA означает integrity
(целостность). Сама аббревиатура означает «конфиденциальность,
целостность и доступность». Подотчетность также относится к основным
целям информационной безопасности.
7. Ответ С. Пропуск — это пример физической защиты. Пароли и
шифрование являются примерами технической защиты. План
аварийного восстановления — это пример организационно-правовой
защиты.
8. Ответ D. Система никогда не может быть полностью защищена.
Чаша весов постоянно перевешивает то в одну, то в другую сторону.
Хакер ищет способ, как попасть в систему, а администратор — как не
допустить этого. Затем хакер ищет другой способ атаки. Это
противостояние вечно, будьте к этому готовы.
РАЗДЕЛ 2
Темы раздела:
● · Угрозы безопасности компьютерным системам.
В этой части 2-го раздела Вы научитесь различать угрозы безопасности {security
threat} компьютерным системам, которые Вы должны будете знать к экзамену. В
число таких угроз входят любое вредоносное ПО {malware}, спам {spam},
повышение привилегий {privilege escalation} и т.д. После этого мы расскажем о
том, как построить проактивную защиту от этих угроз и как устранить проблемы
{fix problems}, возникающие в результате их реализации {threat manifestation}.
Эта часть – самая важная в данном разделе, изучите ее очень внимательно!
● · Внедрение программных средств обеспечения безопасности
{security application}.
В этой части Вы научитесь выбирать, устанавливать и конфигурировать такие
программные средства обеспечения безопасности как персональный
межсетевой экран {personal firewall}, антивирусное ПО {antivirus program},
хостовую систему обнаружения вторжений {host-based intrusion detection system,
HIDS}. Вы научитесь различать программные инструменты и выбирать лучшие
из них для решения ситуаций, с которыми Вам придется сталкиваться по
работе.
● · Защита аппаратного обеспечения и периферийных устройств.
В этой части мы несколько углубимся в знакомство с физическим устройством
компьютеров и узнаем, как защитить аппаратную часть компьютера {computer’s
hardware}, BIOS и периферийные устройства {peripherals}. Также мы затронем
вопросы защиты смартфонов {smartphone} и USB-устройств {USB device}.
Данный раздел содержит информацию по пунктам 3.1, 3.2, 4.2 и 4.3 экзамена CompTIA
Security+ (SY0-301).

Безопасность компьютерных систем

По сути, самое важное в компьютере — это данные. Данные должны быть доступны,
при этом защищены так, чтобы в них не вносились посторонние изменения {to be
tampered with}. Безопасность компьютерных систем в основе своей — это защита от
вездесущих угроз безопасности, которые могут скомпрометировать {compromise}
операционную систему {operating system} и данные, которые она хранит. В
современном мире чаще всего встречаются такие угрозы как вирусы {virus}, трояны
{Trojan} и шпионские программы {spyware}. Их описание занимает значительную часть
этого раздела, а этот раздел в свою очередь – очень важная составляющая всей книги.
Однако, на этом угрозы не кончаются. Есть много других способов получить доступ к
компьютеру, включая доступ через BIOS или через внешние устройства {external
device}. Кроме того, «компьютер» - это не только настольный компьютер {desktop
computer}. Под компьютером могут пониматься портативный компьютер {laptop},
планшет {tablet} или смартфон, т.е. в принципе любое другое устройство, в котором
есть процессор и операционная система. Устранить эти угрозы можно внедрением
{implementation} программных средств обеспечения безопасности на каждом
клиентском компьютере {client computer} вашей сети. Такое ПО позволит защитить
компьютеры от угроз,исходящих от вредоносных программ. К такому ПО относятся
антивирусные программы, программы для защиты от шпионских программ
{antispyware}, персональные межсетевые экраны и хостовые системы обнаружения
вторжений.
Устанавливая эти приложения и отслеживая их своевременное обновление {update},
Вы сможете предотвратить большую часть вредоносных атак, которые могут быть
нацелены на компьютерную систему.

Основные темы

Угрозы безопасности компьютерным системам

Для борьбы с различными угрозами безопасности компьютерных систем мы должны в
первую очередь их классифицировать. Затем мы должны будем определить пути
проникновения этих угроз на целевой компьютер. После этого мы расскажем, как
предотвратить реализацию угроз безопасности, а также как устранить последствия
{troubleshoot}, если угрозы все-таки были реализованы. Итак, начнем с наиболее
частых, и вероятно наиболее разрушительных угроз – вредоносного ПО.

Вредоносное ПО
Вредоносное ПО создается с целью проникновения {to infiltrate} в компьютерную
систему и причинения ей впоследствии вреда без ведома и согласия пользователя
{without user’s knowledge and consent}. Термин «вредоносное ПО» может трактоваться
довольно широко и используется компьютерными специалистами для обозначения
вирусов, червей, троянов, шпионских программ, руткитов, программ-реклам и прочих
типов нежелательного ПО.

Разумеется, никто не хочет заражать {to infect} свои компьютеры вредоносным ПО, но
для защиты компьютеров нам нужно классифицировать вредоносное ПО и дать ему
определение, после чего можно уже будет внедрять предупредительные меры. Также
важно уметь находить, удалять или помещать на карантин {to quarantine} вредоносное
ПО, если оно начинает себя проявлять.

К экзамену Вы должны будете знать несколько типов вредоносного ПО. За последнее

время акцент с вирусов переместился на шпионские программы. Многие люди знают о
вирусах, и у них постоянно работают какие-нибудь антивирусные программы. Тем не
менее, многие люди по-прежнему не знают, что такое «шпионская программа», как она
проявляется, и как от нее защищаться. Именно поэтому, компьютерным специалистам
приходится тратить много времени на устранение шпионского ПО и на обучение
пользователей {to train users on} основам защиты от него. Тем не менее, вирусы
по-прежнему остаются реальным врагом, так что начнем с них.

Вирусы
Вирус – это программный код {code}, который запускается на компьютере без ведома
пользователя. Он заражает компьютер при обращении к коду {to access code} или при
его запуске {to execute code}. Для того, чтобы вирусы начали вредить, нужно, чтобы
пользователь, тем или иным образом запустил их. В вирусах предусмотрена функция
размножения {reproductive capability}. Это значит, что он может создавать копии себя
самого внутри компьютера только с момента первого своего запуска пользователем,
ведь начать размножаться сам по себе вирус не может. Вирус может
распространяться {to spread to} и на другие системы, если он поражает файлы, к
которым эти системы обращаются. Проблема заключается еще в том, что компьютер
не может взять и отпроситься на больничный отпуск в какой-нибудь день недели. Ему
нужно работать, и работать на пределе возможностей в отличие от обычных людей.

В качестве примера приведем один очень хорошо известный вирус - Love Bug. Он
появился в 2000 году, и он попадал на компьютеры в электронном письме с темой "I
love you". К письму прилагался файл love-letterfor-you.txt.vbs или что-то подобное из
любовной темы. Многие пользователи попались на уловку, думая, что это был
текстовый файл. Однако в действительности расширение {extension} файла было .vbs,
т.е. скрипт {script} на Visual Basic. Это вирус удалял файлы, отправлял создателю
вируса имена и пароли пользователей, успел заразить 15 миллионов компьютеров и
нанести ущерба предположительно на 5 миллиардов долларов. Вывод: учите своих
пользователей фильтровать почту {to screen e-mail}!

Насчитывается несколько различных типов вирусов:

● Загрузочный или бутовый вирус записывается в первый сектор жесткого диска

{boot sector}, при загрузке компьютера вирус загружается в оперативную память.
● Макрокомандные или макровирусы {macro} обычно находятся в электронных
документах и рассылают свои копии по электронной почте в расчете на то, что
пользователь откроет зараженный документ и тем самым запустит вирус.
● Файловый вирус {program virus} поражает исполняемые файлы {executable file}.
● Полиморфные вирусы {polymorphic virus} могут меняться при каждом запуске для
того, чтобы не допустить обнаружения {detection} антивирусом.
● Стелс-вирусы {stealth virus} используют различные технологии, которые
позволяют им скрывать свое присутствие для антивирусных программ.
● Бронированные вирусы {armored virus} защищаются от антивирусных программ,
давая программам ложную информацию о своем местоположении. По сути, у них есть
ряд защитных механизмов, которые они используют против того, кто пытается их
анализировать, и будут препятствовать любым попыткам аналитиков изучить свой код.
● Составной вирус {multipartite virus} является гибридом бутового и файлового
вирусов, который атакует загрузочный сектор или системные файлы {system files}, а
потом уже атакует остальные файлы.

Черви
Черви очень похожи на вирусы за исключением того, что у червей есть способность к
саморепликации {self-replicate}, а у вирусов - нет. Черви используют бэкдоры
{backdoor} и бреши в защите {security holes} операционных систем и приложений.
Черви находят системы в локальной сети или в Интернете, на которых запущены такие
же приложения, и копируют себя в эти системы. Червю для начала работы не
требуется обращение к файлу или запуск со стороны пользователя. Для вируса
требуется некий переносчик {carrier}, в котором бы размещается вирус, и требуются
команды на исполнение, напрямую от пользователя или опосредованно. Червям для
запуска не требуются ни переносчики, ни команды на исполнение.

В качестве примера можно привести хорошо известный червь Nimda (т.е. admin
наоборот), который в 2001 автоматически распространился через Интернет за 22
минуты и нанес колоссальный ущерб. Червь распространялся {to propagade} через
предоставление общего доступа к файлам по сети {network share}, через рассылки по
электронной почте {mass e-mail}, а также через уязвимости в операционных системах.

Трояны
«Троянские кони» {Trojan horse} или просто «трояны» {Trojan} изначально появились
для выполнения полезных функций, однако на данный момент в основном они тайно
выполняют вредоносные действия. Формально трояны не являются вирусами, но их
можно легко скачать к себе на компьютер, даже не подозревая об этом. Они также
могут попасть на компьютер через съемные устройства {removable media}, в первую
очередь через USB-флеш-накопители {USB flash drive}. В качестве примера трояна
можно привести файл, который находится внутри загружаемой программы типа
генератор ключей {key generator} (в пиратском ПО называется кейген {keygen}), либо
еще какого-нибудь исполняемого файла {executable}. Если пользователь жалуется на
низкую производительность компьютера и многочисленные предупреждения со
стороны антивирусного ПО {antivirus alerts}, при этом пользователь недавно скачивал
подозрительную программу {questionable program} из Интернета или же с
USB-флеш-накопителя, то вероятно его компьютер инфицирован {infected} трояном.

Самые распространенные типы троянов – трояны удаленного администрирования

{Remote access Trojans, RAT}. К ним относятся, например, Back Orifice, Netbus,
SubSeven (ныне неактуален). Эти трояны дают злоумышленнику административные
привилегии выше, чем у владельца системы, что делает эти трояны особенно
опасными. У этих программ имеется возможность сканировать сеть на наличие
незащищенных хостов {unprotected host} и выполнять на них любые изменения при
подключении. Подобные программы совсем необязательно разработаны для
нанесения вреда компьютерам, однако для обычного человека скачивание таких
программ и последующее управление удаленными компьютерами не составляет
трудностей. Ситуация становится гораздо хуже, если компьютер-жертва {target
computer} находится под управлением злоумышленника, т.к. в этом случае он легко
становится роботом {robot} (или просто ботом {bot}), который по команде выполняет
все инструкции атакующего.

RAT могут быть также написаны на языке PHP или каком-нибудь другом языке, чтобы
предоставлять удаленный доступ к веб-сайтам {web-site}. Примером такого Трояна
может быть веб-шелл {web shell} в различных вариантах исполнения {permutations}.
Он позволяет атакующему удаленно конфигурировать {to remotely configure}
веб-сервер без ведома пользователя. Подробнее об этом можно прочитать в моей
статье, где приведен один из сценариев внедрения веб-шелла, а также приведены
варианты его предотвращения и восстановления работоспособности после его
реализации:
http://www.davidlprowse.com/article-c99shell-trojan-301.php

ВАЖНО:
Несмотря на то, что такие вещи сами собой разумеются, я все же их озвучу.
Будьте предельно осторожны с приложениями типа троянов удаленного
администрирования — они опасны!
Пока я писал эту книгу, я настроил отдельный тестовый компьютер в отдельной
сети, что-то вроде подопытного кролика. На этом компьютере я тестировал
вирусы, шпионские программы, трояны и прочие вредоносы. Я его называю
«чистым компьютером». Этот компьютер никогда не видит других моих рабочих
сетей, никогда не подключается к Интернету и по окончании опытов я его
полностью вычищаю. Рекомендую и Вам работать осторожно и использовать
тестовые системы и сети при изучении вредоносного и антивирусного ПО.

Шпионские программы
Шпионские программы относятся к такому вредоносному ПО, которое либо
скачивается с вебсайта без ведома пользователя, либо устанавливается вместе с
каким-нибудь внешним ПО {third party software}. Как правило, такие вредоносные
программы занимаются сбором информации {to collect information} без согласия
пользователя. Это может быть простенький код, который ведет журнал {to log}
посещаемых вами вебсайтов, а может быть и кейлогером {keylogger}, т.е. программой,
регистрирующей нажатие клавиш. Шпионские программы могут что-то рекламировать
— это те самые всплывающие окна {pop-ups}, которые никак не убираются, и могут
менять конфигурацию системы без вмешательства со стороны пользователя,
например, переадресовывая браузер {redirecting a browser to} на сайты, которые не
запрашивались. Программы-рекламы {adware} обычно тоже включаются в категорию
шпионских программ, т.к. они выводят рекламу на экран, опираясь на информацию,
полученную в результате слежки за пользователем {to spy on the user}.
Условно-вредоносное ПО {grayware} – это еще один общий термин, которое включает в
себя приложения, которые мешают работе, однако не влекут за собой серьезных
последствий. К такому ПО относятся шпионские программы, программы-рекламы и
программы-шутки {joke program}. Думаете, это смешно? Я бы не сказал. Один из
многочисленных примеров таких программ – Internet Optimizer, который вместо страниц
ошибок {error pages} перенаправляет браузер на рекламные страницы других
веб-сайтов.
Руткиты
К руткитам {rootkit} относятся программы, разработанные для получения
администраторских прав доступа к компьютеру {administrator-level control over a
computer} без обнаружения антивирусными программами. Термин составлен из слов
root (рут), что означает "привилегированного пользователя" {root user} в системах
UNIX/Linux или администратора в Windows, и kit, что означает программный пакет
{software kit}. Обычно, целью такого заражения является последующее выполнение
вредоносных действий на компьютере-жертве без ведома администраторов или
пользователей этого компьютера. Руткиты могут находиться в BIOS, в загрузчике ОС
{boot loader}, в ядре ОС {kernel} и т.д. В качестве примера работы загрузочного руткита
{boot loader rootkit} или буткита {bootkit} можно привести метод атаки Evil Maid. При
такой атаке можно извлечь ключи шифрования {encryption key} от всех
зашифрованных дисковых разделов {disk encryption system}, о чем мы расскажем
позже. Руткиты плохо поддаются обнаружению {difficult to detect}, т.к. они активируются
до полной загрузки операционной системы. Руткит может устанавливать скрытые
файлы, запускать скрытые процессы и создавать скрытые учетные записи
пользователей {user account}. Поскольку руткиты могут работать как на аппаратном
уровне, так и на программном, они могут перехватывать данные {intercept data} из
сетевых соединений, клавиатуры и т.д.

Спам
Спам {spam} является формой злоупотребления {abuse} электронными системами
обмена сообщениями, такими как электронная почта, системы мгновенного обмена
сообщениями {instant messaging} и т.д. Спамеры делают несанкционированную
безадресную рассылку сообщений {unsolicited bulk messaging indiscriminately}, причем,
как правило, без фактического обратного адреса спамера, т.к. большая часть спама
либо отклоняется, либо игнорируется. Компании с сомнительными моральными
принципами, например, компании-пирамиды, оправдывают использование такого типа
маркетинга, т.к. в конечном итоге руководство этих компаний остается в выигрыше,
хотя тем исполнителям, кто фактически делает рассылку, особой выгоды от спама нет.
Спам чаще всего распространяется через электронную почту, что делает его
настоящей головной болью для сетевых администраторов. Спам может потреблять
значительное количество ресурсов и при больших объемах даже может вызвать на
почтовом сервере отказ в обслуживании {denial of service}. Спам также может вводить
пользователей в заблуждение, если в нем используются приемы социальной
инженерии {social engineering}. Кроме того, огромное количество сетевых вирусов
{network-based virus} передаются через спам в электронных письмах. И это еще не
все! Худший вариант спама - это когда злоумышленник, использует почтовый сервер
какой-либо компании для рассылки спама. Помимо того, что это противозаконно,
такой инцидент может также иметь юридические последствия для компании,
владеющей этим почтовым сервером. Почти каждый из нас сталкивался со спамом, и
если - о, чудо - Вы все-таки с ним не сталкивались, приглашаю Вас пройти по этой
ссылке, чтобы посмотреть наиболее опасные его варианты:
www.antespam.co.uk/spam-resource/
Спим {spim, IM spam}, термин производный от спама, тоже относится к
злоупотреблениям системами мгновенного обмена сообщениями, чат-комнатами и, в
частности, функциями чата в онлайновых играх. Спим также называют моментальным
спамом.

Обзор угроз вредоносного ПО

В таблице 2-1 предоставлена сводка угроз вредоносного ПО, описанных на данный
момент.

Таблица 2-1.
Сводка угроз вредоносного ПО
Угроза Определение Пример

Вирус Вирус – это программный Вирус Love Bug

код, который запускается Напр.:
на компьютере без love-letter-for-you.txt.vbs
ведома пользователя. Он
заражает компьютер при
обращении к коду или
при его запуске.

Червь Похож на вирус за Червь Nimda

исключением того, что в Распространился через
отличие от вирусов общий доступ к файлам в
обладает способностью к сети и через почтовые
саморепликации. рассылки.

Троян Изначально разработан Троян удаленного

для выполнения доступа
полезных функций, Напр.: Вредоносное ПО
однако на данный момент SubSeven
в основном скрыто
выполняет вредоносные
действия.

Шпионские программы Шпионские программы Internet Optimizer (он же

относятся к такому DyFuCA)
вредоносному ПО,
которое либо скачивается
с вебсайта без ведома
пользователя, либо
устанавливается вместе
с ПО какого-нибудь
стороннего разработчика.

Руткит Программы, Загрузочный руткит

 разработанные для Напр.: Evil Maid Attack
получения (метод атаки Evil Maid)
администраторских прав
доступа к компьютеру
без обнаружения
антивирусными
программами.

Спам Злоупотребление Фишинговые письма

электронными системами {phishing identity theft
обмена сообщениями, e-mail}, т.е. письма,
такими как электронная предназначенные для
почта, системы выуживания из
мгновенного обмена пользователя
сообщениями и т.д. информации, которая
позволяет совершить
«кражу личности».
Лохотрон {lottery scam
e-mail}, т.е. фальшивые
уведомления о выигрыше
в лотерею.

Пути проникновения вредоносного ПО

Вредоносное ПО не обладает разумом, по крайней мере, пока, и не может появляться
из ниоткуда, поэтому попасть на компьютер оно может, только если его на компьютер
перешлют, принесут или установят. Для этого существует несколько возможностей.
Простейший вариант для злоумышленников – получить физический доступ {to gain
physical access} к незащищенному компьютеру {unprotected computer} и выполнить
свои действия прямо на нем, т.е. локально. Однако физический доступ получить
проблематично, и поэтому для передачи вредоносного ПО используются иные способы
- о них пойдет речь ниже. Некоторые из этих способов могут не только доставлять
вредоносное ПО на компьютер, но и использоваться злоумышленником также для
упрощенного доступа к компьютеру, внесения изменений и т.д.

Передача через программы, системы обмена сообщениями, носители информации

Есть много способов, как вредоносы могут попасть на компьютер через различные
программы. Например, человек, который отсылает ZIP-архив, может даже не
подозревать о том, что в этом файле присутствует вредоносный код. Получатели
такого сообщения также могут не подозревать о существовании вредоносного кода,
пока не проверят почтовое вложение антивирусом. Кроме того, вредоносное ПО
может попадать на компьютер через FTP-соединения. Так как FTP-серверы не
защищены {insecure server} по определению, закачать туда вредоносные файлы и
прочие программы намного проще, чем можно себе представить. В торрентах {bit
torrent} и пиринговых файлообменных сетях {P2P network} тоже довольно много
вредоносного ПО. Пользователи, которые пользуются такими сетями, должны быть
предельно осторожными. Вредоносный код может также встраиваться {to be
embedded} и распространяться через веб-сайты, например, при чтении страницы с
вредоносным кодом или при скачивании подозрительных файлов. Даже в рекламе
могут быть вредоносы. Съемные носители {removable media}, разумеется, могут
делать компьютер уязвимее. Например, компакт-диски и USB-флеш-накопители
можно сконфигурировать так, чтобы при включении их на компьютере они
автоматически запускали вредоносное ПО. Это как раз тот случай, когда автозапуском
{autorun} лучше не пользоваться! На съемных носителях могут быть также скрыты
вирусы, черви и даже логические бомбы {logic bomb}, настроенные на активацию при
наступлении определенного события.

Активный перехват
Активный перехват {active interception, active inception}, как правило, выполняется
через компьютер, находящийся в цепочке между отправителем и получателем, путем
сбора и модификации передаваемой информации. Если кто-то может перехватить
{eavesdrop} сессию передачи данных {data session} с Вашего компьютера, то эти
данные можно украсть, модифицировать или каким-либо образом скомпрометировать.
В качестве примеров таких атак можно привести кражу сессии {session theft} или атака
типа «человек посередине» {MITM, man-in-the-middle attack}. Более подробно об этих
атаках – см. раздел 5 «Сетевые компоненты и угрозы», глава «Злоумышленные
атаки».

Повышение привилегий
Повышение привилегий {privilege escalation} – это результат использования ошибок
или недочетов в ПО или микропрограмме, где злоумышленник получает доступ к таким
ресурсам, которые при нормальной работе были бы защищены от доступа к ним
пользователя или приложения. Таким образом, пользователь получает
дополнительные привилегии дополнительно к тем, которые были изначально
заложены разработчиками приложения, например, обычный пользователь может
получить администраторский доступ, либо один пользователь может получить
несанкционированный доступ на чтение электронной почты другого пользователя.

Бэкдоры
Бэкдоры {backdoor} используются в программах для обхода процедуры обычной
аутентификации {to bypass normal authentication} и других установленных защитных
механизмов. Изначально, бэкдоры использовались разработчиками как легитимный
способ доступа к приложениям, однако совсем скоро они стали встраиваться в
программный код злоумышленниками, которые хотели использовать бэкдоры для
внесения изменений в операционную систему, веб-сайты и настройки сетевых
устройств. Злоумышленники могут разрабатывать целые приложения, которые могут
работать, как бэкдор, например, бэкдор Back Orifice, позволяющий пользователю
осуществлять удаленный доступ к компьютеру под управлением ОС Windows.
Бэкдоры часто устанавливаются через трояны, в частности, через трояны удаленного
доступа. Иногда бэкдоры устанавливаются на компьютере с помощью червей, что
позволяет удаленным спамерам рассылать спам {junk e-mail} с зараженных
компьютеров или повышать на них свои привилегии. К сожалению, против бэкдоров не
так много защитных средств – в основном это регулярная установка и поддержка
актуальности обновлений {update} и патчей {patch}. Тем не менее, если сетевые
администраторы обнаруживают новый бэкдор, им следует немедленно уведомить
соответствующего производителя устройства или разработчика ПО. В последнее
время бэкдоры встречаются все реже и реже, т.к. их использование обычно
пресекается разработчиками ПО и изготовителями сетевых устройств.

Логические бомбы
Логические бомбы {logic bomb} являются программным кодом, который был каким-то
образом встроен в ПО и который запускает определенную вредоносную программу при
наступлении определенного события.
У логических бомб нет четкого перехода между вредоносным ПО и способами его
доставки. Конечно, логические бомбы относятся к нежелательному ПО, однако, они не
наносят вред сами, они лишь приводят в действие {activate} вирусы, червей или
троянцев в определенный момент времени. Троянцы, выставленные на активацию в
определенный момент времени, считаются бомбами с часовым механизмом {time
bomb}. Логическая бомба отсчитывает время до наступления заданного времени,
даты или удовлетворения иных параметров. Разумеется, даже самые страшные
реализации этих бомб никакого отношения к взрывам не имеют. Логическая бомба
может содержаться внутри вируса или же загружаться отдельно. Логические бомбы
чаще встречаются в фильмах, чем в реальной жизни. Однако они существуют и
реально вредят, и их чаще обнаруживают до того, как они сработают. Если вы как
системный администратор подозреваете, что нашли логическую бомбу, или часть ее
кода, вам следует немедленно поставить в известность своего руководителя и
проверить политики {policies} вашей организации, чтобы понять, какие еще действия
можно предпринять в данной ситуации. А действия могут быть такие: привести план
аварийного восстановления сети {network disaster recovery} в состояние повышенной
готовности {on standby}, уведомить разработчика ПО, ввести защитные меры по
управлению скомпрометированным ПО, включая, например, отказ от его
использования до тех пор, пока не уровень угрозы не будет снижен {to mitigate the
threat}. Близким родственником логической бомбы можно считать закладку типа
«пасхальное яйцо» {Easter egg}.

«Пасхальное яйцо» изначально было безобидной шуткой, которую разработчики

добавляли в ОС или приложение; нередко, ее не замечали при контроле качества, и в
таком виде продукт выпускался разработчиком. В качестве примера «пасхального
яйца» можно привести опцию моментальной победы в игре Solitaire (Windows XP) при
одновременном нажатии клавиш ALT+Shift+2. Обычно «пасхальные яйца» не
документируются официально – их добавляют программисты-шутники в самый
последний момент. «Пасхальные яйца» пока вполне безобидны, но на данный момент
у серьезных разработчиков ПО они запрещены, и поэтому программные продукты
тщательно проверяются на предмет содержания таких сюрпризов. Поскольку
«пасхальные яйца» (и не только они) потенциально могут проскользнуть через
контроль качества, и поскольку в последнее время в обществе нарастает
озабоченность по поводу вредоносного ПО, многие компании приняли концепцию
Trustworthy Computing (принцип разработки надежных и безопасных программ),
которая задает новые, более высокие требования к разработке и написанию ПО, а
также к процедурам контроля качества.
Нам даже немного грустно, что с развитием ПО уходят в небытие «пасхальные яйца».

Бот-сети и компьютеры-зомби

Я знаю, о чем Вы подумали – названия этих атак и способы доставки вредоносного ПО

выглядят все нелепее и нелепее. Однако поверьте мне, они вполне осмысленны и
более чем реальны. Я поясню. Дело в том, что вредоносное ПО может
распространяться через Интернет через группу скомпрометированных компьютеров,
называемых бот-сетью {botnet}, которая управляется через бот-мастера {master
computer}, где и находится злоумышленник. Инфицированные компьютеры в бот-сети
называются компьютеры-зомби {zombie}. Они так называются потому, что
пользователи не знают об установленном на их компьютере вредоносном ПО.
Заражение может происходить по-разному, в т.ч. и через автоматическое
распространение вредоносного ПО от одного компьютера-зомби к другому. А теперь
представьте, что случится, если на всех компьютерах-зомби будет установлен
определенный вирус или иной источник угрозы, и вместе с ним - логическая бомба,
которая готова будет привести в действие вредоносное ПО {to set off the malware} в
определенный момент времени. Если этот сценарий реализуется сотнями или даже
тысячами компьютеров, то можно выполнить масштабную синхронную атаку на
практически любую цель. Такая атака часто называется атакой распределенного
отказа в обслуживании {distributed denial of service} или DDOS-атака. Она обычно
длится довольно долгое время и нацелена на какой-то определенный популярный
сервер. Если какой-то компьютер в вашей сети постоянно сканирует другие
компьютерные системы в сети, обменивается данными с каким-то неизвестным
IRC-сервером или иным неизвестным главным сервером, или устанавливает сотни
исходящих соединений к различным веб-сайтам, то это может указывать на то, что
данный компьютер является частью бот-сети.

Предупреждение и удаление вредоносного ПО

Теперь, когда мы знаем типы вредоносного ПО и способы его попадания на

компьютер, можно поговорить и о том, как не допустить его проникновения на
компьютер и о том, как удалять {troubleshoot} его, если оно все-таки проникло. К
сожалению, учитывая количество компьютеров, с которыми Вам придется работать,
оно все-таки будет проникать.
Если система поражена вредоносным ПО, то она может медленно реагировать на
запросы, отображать нежелательные всплывающие окна {unwanted pop-ups},
переходить на неверные веб-страницы. В отдельных случаях приложения, а то и вся
система может внезапно блокироваться {lock up} или завершать свою работу {shut
down}. Вредоносное ПО довольно часто прямо или скрыто использует ресурсы
процессора и оперативной памяти, тем самым, замедляя работу системы. В целом,
технический специалист должен обращать внимание на любые странности в
поведении {erratic behaviour} компьютера, как если бы компьютер имел разум. Ну а
теперь, давайте отложим вирусы и шпионские программы в сторону и перейдем к
вопросу об их предотвращении или удалении.

Предупреждение и удаление вредоносного ПО

Для защиты компьютера от вирусов можно принять следующие меры. Во-первых, на

каждом компьютере должно работать антивирусное ПО. В качестве разработчиков
такого ПО можно привести McAfee, Norton или Vipre и т.д. Во-вторых, это ПО
необходимо обновлять {to be updated}. Это подразумевает, что программе нужна
действующая лицензия, и у большинства разработчиков ее требуется обновлять
ежегодно. При обновлении в ручном режиме обязательно обновите антивирусный
модуль {AV engine} и определения {definition} вирусов. При обновлении в
автоматическом режиме необходимо настроить антивирусное ПО на обновление через
определенные интервалы времени, например, на ежедневное или еженедельное
обновление. Также было бы неплохо настроить полное регулярное антивирусное
сканирование {regular full scans} компьютера. Пример обнаружения вируса при
сканировании показан на рис. 2-1. Антивирусная программа рекомендует поместить
вирус на карантин {to be quarantined}, но если нажать кнопку Clean ("Очистить"), то
будет проведена очистка от вирусов {cleaning action}. На самом деле, это всего лишь
один из множества тестовых вирусов, который может быть занесен на ваш компьютер.
Он относительно безвреден, однако он проверяет антивирусное ПО на
жизнеспособность.

ВАЖНО
По этой ссылке можно посмотреть небольшую видео-презентацию (на
английском языке) того, как антивирусная программа Vipre переносит в
карантинную зону некоторые вредоносные программы:
http://www.davidlprowse.com/video-vipre-quarantine-301.php

По мере обновлений определений вирусов антивирусные программы, как правило,

помимо вирусов обнаруживают {to locate} червей и троянцев. Однако эти программы
не обнаруживают, как правило, ни логических бомб, ни руткитов, ни бот-сетей.
Помните, что антивирусные программы – это, конечно, хорошо, но они не являются
панацеей от всех бед.

Рисунок 2-1.
Пример обнаруженного вируса
На следующем этапе нужно убедиться, что на компьютере установлены последние
обновления или пакеты обновлений {service pack}. Это касается операционной
системы и приложений таких, как например, Microsoft Office. «Черные ходы»,
работающие на уровне ОС или приложений, давно уже не в диковинку, поэтому
разработчики ОС часто выпускают исправления {to release a fix} для таких брешей в
безопасности {a breach of security}. В ОС Windows есть служба Windows Update
(«Центр обновления Windows»), которую нужно запустить, а также либо настроить на
автоматическое скачивание обновлений, либо скачивать и обновлять систему вручную.
Возможно, в Вашей организации уже установлены правила обновления Windows. Если
да, то настройте автоматическое обновление в соответствии с политиками Вашей
компании. Проверить актуальность обновлений на Вашем компьютере можно через
Start («Пуск») > All Programs («Все программы») > Windows Update («Центр
обновления Windows»). В ОС Windows 7 или Windows Vista наличие обновлений
можно проверить прямо через программу Automatic Updates. ОС Windows XP
направляет вас на веб-сайт, где предлагается установить компонент Windows Update, а
затем проверить компьютер на актуальность установленных исправлений
безопасности и других исправлений.

Крайне важно, чтобы межсетевой экран был установлен и включен, а также чтобы он
регулярно обновлялся. Межсетевой экран закрывает все входящие порты {inbound
port} на вашем компьютере (или сети) для блокировки попыток вторжений.
Брендмауэр (т.е. межсетевой экран) Windows {Windows Firewall} встроен в Windows 7,
Windows Vista и Windows XP, однако Вам возможно еще понадобится маршрутизатор
для малых офисов и домашнего использования {SOHO-router, Small Office and Home
Office router} со встроенным межсетевым экраном {built-in firewall}. Если использовать
их вместе, то у вас будет два уровня защиты от вирусов и иных атак. Брендмауэр
Windows находится в Control Panel ("Панели управления”). Учтите, что для программ,
которым необходим доступ в Интернет, возможно придется установить исключения
{exceptions} в межсетевом экране. Такие исключения можно поставить для программы
или для порта, которым пользуется протокол, используемый программой. Исключения
можно также установить на вкладке Exceptions ("Исключения"), добавив отдельную
программу в перечень приложений, разрешенных для обмена данными через
межсетевой экран, и оставив при этом закрытыми остальные порты.

Есть еще один способ, который помогает предотвратить попадание вирусов. Я

называю этот способ «отделением данных от ОС» {separation of OS and data} (по
смыслу похоже на «разделение церкви от государства», только с другим содержимым).
В основе этого метода - разделение системы на два диска. Операционная система
устанавливается на диске “C:", данные – на диске “D:" (для второго диска можно
использовать любую другую букву по желанию). Благодаря такому разделению ОС и
данных, вирусам будет сложнее распространяться, а Вам будет проще их
обнаруживать при сканировании. Кроме того, это упрощает повторную установку ОС,
т.к. отпадает необходимость создания резервной копии данных. Можно использовать
подобный подход с использованием двух разделов {partition} на одном жестком диске.

ВАЖНО
Есть еще вирусы, которые могут причинять вред другим типам компьютеров.
Для смартфонов, микрокомпьютеров, компьютеров под управлением Mac OS и
Linux тоже есть вирусы, хотя их и не так много, как для ПК под управлением ОС
Windows. К примеру, вирус Phage может заражать приложения для КПК Palm, и
хотя этот вирус встречается редко, компания Palm все же выпустила
обновление к своей операционной системе против этого вируса. Как бы не
казалось излишним обновление обычного ПК, компьютера Macintosh или
смартфона, зачастую оно необходимо. Это особенно очевидно, если компьютер
или мобильное устройство часто используется для подключения к съемным
носителям, подозрительным веб-сайтам или посторонним сетям.

Ну и, наконец, объясняйте пользователям, как вирусы могут заражать компьютерные

системы. Обучайте их тому, как фильтровать электронную почту {to screen e-mail}, и
говорите им, чтобы они не открывали неизвестные вложенные файлы {unknown
attachment}. Покажите им, как сканировать съемные носители до начала копирования
файлов на свой компьютер, либо настройте автоматическое сканирование съемных
носителей при подключении. Иногда обучение пользователей срабатывает, иногда –
нет. Один из вариантов, как сделать обучение пользователей эффективнее – нанять
технического специалиста-инструктора, который будет вместо вас обучать
пользователей. Такая мера может улучшить процесс обучения.
Используя эти меры, можно резко сократить заражение вирусами. Однако, если
компьютер уже заражен, то возможно Вам потребуется знать, что искать, чтобы
«вылечить» компьютер.

Вот несколько типичных симптомов зараженного компьютера:

 ● Компьютер работает медленнее обычного.
● В компьютере часто перестает работать {to lock up} то или иное приложение,
или вся система перестает отвечать на запросы {to stop responding}.
● Компьютер произвольно перезагружается или на нем часто возникают
системные сбои.
● Диски и приложения становятся недоступными или работают некорректно.
● Компьютер издает странные звуки.
● Компьютер выдает необычные сообщения об ошибках {unusual error
message}.
● Вывод информации на экран или на принтер выполняется с искажениями
{dispay distortions, print distortions}.
● Возникают новые пиктограммы или пропадают старые (вместе с
приложениями).
● У файла, приложенного к электронной почте и открытого ранее, имеется
двойное расширение {double extension}, например, .txt.vbs или .txt.exe.
● Антивирусные программы не запускаются или не устанавливаются.
● Имеются поврежденные файлы, автоматически создаются папки.

Прежде чем начинать вносить какие-то изменения в компьютер, обязательно сделайте

резервную копию критичных данных {critical data} и установите последние обновления
ОС и антивирусного ПО. Затем необходимо провести полное сканирование системы с
помощью антивирусного ПО, по возможности - в безопасном режиме {in safe mode}.
Еще можно зараженный диск перенести на изолированный компьютер, т.е. на
компьютер, который используется только для сканирования вредоносного ПО и
который не подключен к Интернету. Диск можно подключить, если в другом
компьютере сделать его подчиненным {slave} в порте IDE, SATA или eSATA, и
запустить сканирование подключенного диска с помощью антивирусного ПО,
установленного на изолированной машине. В мастерских по ремонту компьютеров
часто имеются такие изолированные машины.

Итак, будем считать, что все завершилось благополучно: антивирус нашел вирусы и
переместил их на карантин. Однако если антивирус ничего не нашел, а также если он
инфицирован и не запускается, то можно попробовать онлайн-сканер, как например,
служба HouseCall от компании Trend Micro: http://housecall.trendmicro.com/ или скачать
утилиту для удаления вредоносных программ от компании Microsoft {Microsoft’s
Malicious Software Removal Tool}:
http://www.microsoft.com/security/pc-security/malware-removal.aspx

В редких случаях требуется удалить отдельные файлы или удалить записи в реестре
{Registry entry}. Это может быть единственным решением, если новый вирус
инфицировал систему, а определений антивируса еще не вышло. Инструкции о том,
как удалять вирусы таким образом, размещается на веб-сайтах разработчиков
антивирусного ПО.

Если речь заходит о загрузочных вирусах, то лучшим решением по-прежнему остается

антивирусное ПО. Антивирусное ПО может потребовать загрузочный диск для
завершения сканирования загрузочного сектора или может иметь встроенную защиту
для загрузочного сектора. В некоторых модулях BIOS предусмотрена опция
сканирования загрузочного сектора при включении компьютера {at startup}. В таком
случае при настройке BIOS ее нужно включить в первую очередь. Можно также
использовать команду SYS в ОС DOS для восстановления первого сектора или
команду FDISK /MBR для восстановления загрузочной записи в загрузочном секторе.
Однако для выполнения этих команд требуется загрузочный диск {boot disk} с ОС DOS.
Такой диск можно подготовить на компьютере под управлением ОС DOS или скачать
из Интернета.
В Recovery Console ("Консоли восстановления”) ОС Windows XP и 2000
предусмотрена команда FIXMBR, а в командной строке System Recovery Options
("Параметры восстановления системы”) в ОС Windows 7/Vista для этой цели можно
ввести команду bootrec /fixmbr. Помните, что DOS, Recovery Console или System
Recovery Options не всегда решают эту проблему, а в некоторых случаях в
зависимости от типа вируса диск может вообще выйти из строя. Лучше всего
использовать различные утилиты того антивирусного ПО, которое приобреталось для
данной системы.