| Форум игрового портала ceriel.ru http://ceriel.ru/forums/ |
|
| Введение в информационную безопасность, основные понятия http://ceriel.ru/forums/viewtopic.php?f=40&t=37 |
Страница 1 из 1 |
| Автор: | Sheeper [ 13:53:24, 3 июн 2014 ] |
| Заголовок сообщения: | Введение в информационную безопасность, основные понятия |
Лирическое отступление: сетевых атак и методов противодействия такое количество, что, наверно, ни один человек не в состоянии физически столько знать/помнить, невозможно было бы уложиться в рамки форума. Потому здесь лишь основы. А они в свою очередь послужат руководством к действию для неискушённых пользователей. На них и ориентирован сей эпос. Вирусные угрозы в современном мире - это априори. Человек может ни разу в жизни не общаться с компьютером, зато знать основы (что они есть, и существует специализированное программное обеспечение для борьбы с ними). А под термином "сетевая безопасность" понимаются мифические существа - хакеры. Но в реальной жизни всё сложнее... Помимо хакеров и их атак в реальном времени, существует ещё бесчисленная масса вредоносного ПО, способного работать автономно. Основное отличие от вирусов в том, что они больше ориентированы на обратную связь со своим создателем и извлечение какой-либо выгоды от своих действий (в то время как вирусы в своём большинстве просто поражают файлы и сами операционные системы). То есть они проникают на машину жертвы, делают своё дело, после чего так или иначе связываются с создателем/хакером. По степени опасности можно выделить несколько разновидностей вредоносных программ. Во-первых это программы класса Trojan-Downloader (троянские загрузчики). Подобные программы обычно сами по себе не опасны, но их запуск приводит к скрытной загрузке других вредоносных программ, а те, в свою очередь, тоже могут обладать функциями Trojan-Downloader - в результате получается "эффект снежного кома" и через 5-10 минут на пораженном компьютере оказывается до сотни разнообразных зловредов. С другой стороны очень опасны программы класса Trojan-PSW и TRojan-SPY, поскольку они собирают и отправляют злоумышленнику пароли пользователя или конфиденциальную информацию, что в дальнейшем может нанести пользователю существенный вред. В качестве отдельного класса можно рассматривать ROOTKIT-технологии - они все чаще применяются для маскировки вредоносных программ и их защиты от удаления. Современные черви (разновидность вредоносного ПО) имеют встроенные модули, предназначенные для их рассылки, и люки для беспрепятственного проникновения (обхода штатных средств защиты операционной системы, инструментарий для использования брешей безопасности) в зараженную машину. Новейшие версии снабжены средствами подавления активности других вирусов или червей. Таким образом могут создаваться целые сети зараженных машин (BotNet), готовых по команде начать, например, DDoS-атаку на определённый сервер или ряд серверов. Для управления такими машинами-зомби в настоящее время может использоваться почти всё, что угодно. Этому способствует также то, что большинство систем более тщательно контролируют входной трафик, а не выходной. Следует иметь в виду, что зараженная машина может служить, помимо DDoS-атак, для сканирования других машин и рассылки спама, вирусов, для хранения нелегальных программных продуктов, для управления самой машиной и кражи документов, хранящихся там, для выявления паролей и ключей, используемых хозяином... Первый случай атаки с помощью сетевого червя зарегистрирован в ARPANET (Advanced Research Projects Agency Network) в 1988 году (Morris worm), что изменило сетевую среду радикально и навсегда - это было начало. Сеть ARPANET официально была объявлена Internet в 1989 году. Первая программа-sniffer была создана в 1994 году. Первые атаки на систему DNS произошли в 1995 году, тогда же была впервые использована фальсификация адреса отправителя. Гонка в сфере DDoS-атак началась в 1996 году. Первые Firewall (межсетевые экраны/брандмауэры) появились в конце 80-х годов, а в 1991 году фирма DEC предложила устройство SEAL (Secure External Access Link), устройства же современного типа появились уже в 1993 году (TIS – Trusted Information System). Система firewall в некоторых случаях может заменять маршрутизатор или внешний шлюз сети (gateway). Защищенная часть сети размещается за ним. Пакеты, адресованные Firewall, обрабатываются локально, а не просто переадресуются. Пакеты же, которые адресованы объектам, расположенным за Firewall, не доставляются. По этой причине хакер вынужден иметь дело с системой защиты. Сетевые экраны подразделяются на различные типы в зависимости от следующих характеристик:
В зависимости от уровня, на котором происходит контроль доступа, существует разделение на сетевые экраны:
В зависимости от отслеживания активных соединений сетевые экраны бывают:
Безопасность - понятие относительное. Максимальная безопасность (один открытый порт "80", отключение Java скриптов, Cookies, ActiveX и т.д.) - это в первую очередь дискомфорт. Ибо придётся вручную писать правила поведения файрволу, будут не работать многие сайты, сетевые игры и программы... Посоветовать что-то обобщённое, подходящее всем и сразу (в плане выбора софта и его конфигурирования) не представляется реальным. И обычно определяется конечным пользователем опытным путём проб и ошибок. Почему? Да потому что одним к примеру захочется максимальную безопасность, у других из за неё не будут работать онлайн игры, у третьих начнёт тормозить (или вообще перестанет работать) внутрисетевое телевидение, и т.д. Единственное - всё же нужно ставить файрволы сторонних производителей, а в идеале иметь связку из файрвола и антивируса. На момент написание этого мини экскурса самым популярным межсетевым экраном являлся "Outpost Firewall". Почему сторонние и чем плохи те, которые и так по умолчанию есть в windows? Дело даже не в том, чем они плохи, а в том, что подавляющее большинство хакеров и вредоносного ПО ориентируется именно на операционные системы, работающие по умолчанию (не настроенные, с встроенными средствами защиты)!.. Также существуют разновидности вредоносного ПО, которые внедряются в исполняемые файлы, библиотеки или модули расширения известных программ. Таким образом можно, например, организовать утечку данных с компьютера пользователя. Сетевой трафик, инициированный вредоносным кодом, будет свободно пропускаться межсетевыми экранами, поскольку, с точки зрения оного межсетевого экрана, этот трафик принадлежит приложению, которому разрешен доступ в интернет. Для того чтобы противодействовать модификации известных приложений вредоносным ПО как раз и применяются "модули контроля целостности приложений" и модули фильтрации уровня доступа приложений. Список приложений, контролируемых этим компонентом, автоматически формируется всеми современными межсетевыми экранами. Бывает такое, что файрвол информирует вас (обычно для этого используются всплывающие окна, анимация, или значки/анимация в области уведомлений/taskbar) о том, что с момента предыдущего запуска изменился один или несколько модулей контролируемого приложения. Однако изменение исполняемого файла могло произойти как в результате внедрения в приложение вредоносного кода, так и в результате обычного обновления программы. Например, библиотеки, используемые браузером Microsoft Internet Explorer, могут меняться в результате обновления Windows. В таких случаях ваш лучший помощник - собственное внимание и бдительность! К примеру, если ничего явным образом не обновлялось, не просило разрешение на обновление и не информировало о успешном/не успешном обновлении, а вы тем временем побывали на десятке подозрительных сайтов, то с большой долей вероятности вы наблюдаете последствия работы вредоносного ПО. Заблокируйте доступ для этого приложения, и проведите тщательную проверку системы, как на предмет вирусов, так и всего остального (во многих межсетевых экранах встроены модули борьбы с вредоносным ПО, и проверку можно производить непосредственно при помощи них). (c) 2007 Svin |
|
| Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|