Страница 9 из 12
Неправильная настройка программ
К сожалению, большинство пользователей часто сами создают проблемы. Например, браузеру часто разрешают запуск JavaScript, ActiveX и других элементов управления, с помощью которых легко установить шпионские программы. Некоторые почтовые клиенты умеют обрабатывать и выводить на экран HTML-контент, позволяющий выполнять любые действия. Из-за неправильных настроек почтовой программы или имеющихся в ней ошибок при просмотре содержимого полученных писем могут автоматически открываться файлы вложений. Иногда используется следующий прием: к сообщению прилагается исполняемый файл, а в заголовке MIME, который указывает на тип передаваемого файла, в поле Content-Type указывается, что это рисунок. Почтовый клиент, пытаясь загрузить рисунок, запускает исполняемый файл.
Примечание
MIME – Мultipurpose Internet Мail Extension – почтовый стандарт Интернета: кодирование в одном сообщении текстовой и нетекстовой информации (графики, архивов и пр.) для передачи по электронной почте.
Опасность кроется не только в присылаемых EXE-файлах. Существует малоизвестная возможность выполнения сценариев в HLP– и CHM-файлах, причем эти сценарии позволяют запускать исполняемые файлы, поэтому следует остерегаться любых непрошеных сообщений электронной почты.
Если вы предпочитаете использовать для серфинга Internet Explorer, установите высокий уровень безопасности. Для этого выполните команду меню Сервис → Свойства обозревателя, в появившемся окне перейдите на вкладку Безопасность, выберите категорию Интернет, в нижней части окна нажмите кнопку Другой, в открывшемся окне Параметры безопасности выберите из списка На уровень пункт Высокий и нажмите кнопку OK.
Пользователи часто работают в Интернете с правами администратора, соответственно, злоумышленник, получивший доступ к компьютеру посредством, например, атаки на Internet Explorer, получит те же права, поэтому для работы в Интернете следует завести отдельную учетную запись, наделив ее минимальными правами.
Червь Lovesan использовал уязвимость в сервисе Microsoft RPC (Remote Procedure Call – удаленное выполнение команд). И хотя эта уязвимость устранена, если служба DCOM (Distributed Component Object Model – модель распределенных компонентных объектов) вам не нужна, лучше отключить ее, а заодно и остальные ненужные сервисы. Чтобы проверить список запущенных служб, следует выполнить команду меню Пуск → Выполнить и в окне Запуск программы ввести cmd. В появившемся окне командной строки введите команду net start. На рис. 1.1 показан пример списка работающих служб.
Рис. 1.1. Вывод списка запущенных служб
Чтобы отредактировать список автоматически запускающихся служб, следует выполнить команду Пуск → Панель управления, выбрать категорию Производительность и обслуживание, затем Администрирование, после чего щелкнуть на ярлыке Службы. Двойной щелчок на выбранной службе покажет информацию о ее назначении и позволит изменить статус запуска. Если вы сомневаетесь в необходимости служб, можно постепенно отключать их, наблюдая за реакцией системы.
В Интернете существует достаточное количество руководств, подробно описывающих назначение системных служб Windows. Одно из них можно найти по адресу http://www.oszone.net/display.php?id=2357. Желательно отключить нулевую сессию (Null Session), позволяющую подключиться к системе, основанной на Windows NT, без ввода имени пользователя и пароля. При включенной нулевой сессии анонимный пользователь может получить большое количество информации о конфигурации системы, которую сможет использовать в дальнейших действиях (список ресурсов, предоставленных для общего доступа, список пользователей, рабочих групп и т. д.). Открытый 139-й порт относится к категории серьезных уязвимостей. Чтобы отключить нулевую сессию, необходимо выполнить команду меню Пуск → Выполнить и набрать в строке Открыть команду regedit. В разделе реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa для Windows 2000/XP/2003 нужно задать параметру restrictanonymous значение 2 (тип – REG_DWORD), для Windows NT3.5/NT4.0 – значение 1. Для Windows 2000/XP/2003 в разделе реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserver нужно задать для параметра RestrictNullSessionAccess значение 1 (тип параметра – REG_DWORD), а для Windows NT3.5/NT4.0 это можно сделать в разделе системного реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanManServerParameters. Если таких параметров нет, их необходимо создать.
После внесения изменений требуется перезагрузка компьютера.
Следует также запретить скрытые ресурсы C$, D$, ADMIN$. Для этого проще использовать специализированные утилиты. Например, программа LanSafety позволяет сделать это одним щелчком (рис. 1.2).
Рис. 1.2. Рабочее окно программы LanSafety
Желательно использовать файловую систему NTFS, которая позволит разграничить доступ к ресурсам вашего компьютера и усложнит процесс локального взлома базы SAM.
Ранние версии Microsoft Word и Microsoft Ехсеl вместе с открытием документа автоматически запускали сценарии, написанные на языке Visual Вasic for Аррlication, что приводило к заражению компьютера макровирусами. Последние версии этих приложений запрашивают у пользователя подтверждение запуска сценариев.
Это далеко не все мероприятия, которые нужно выполнить для повышения уровня безопасности работы на компьютере. Обязательно следует установить антивирус, включить брандмауэр и использовать другие программы, о которых будет рассказано в следующих главах.
Социальный инжиниринг
Среди специалистов по информационной безопасности распространено мнение, что компьютерная защита – это постоянная борьба с глупостью пользователей и интеллектом хакеров. Отсюда следует, что наиболее уязвимое звено в защите – человек. Существуют и системные уязвимости, которые становятся источником массовых эпидемий (достаточно вспомнить червь Lovsan aka W32. Blaster, использовавший уязвимость в RPC DCOM). Здесь, к сожалению, пользователь бессилен, и бороться с этим можно либо постоянно устанавливая всевозможные заплатки, либо сменив операционную систему на более безопасную, а от последствий действий пользователя порой не спасет ничто.
Внимание!
Часто пользователь становится источником своих же проблем: будьте внимательны при работе с письмами неизвестных отправителей, пользуйтесь антивирусом и брандмауэром.
Разработчики вирусов используют те же приемы, что и маркетологи, и всегда найдется хотя бы один человек из ста, который, несмотря на предупреждения, сочтет полученное неизвестно от кого письмо безопасным и откроет его, понадеявшись на защиту антивируса. Для достижения цели вирусописатели (как, впрочем, и другие мошенники, в том числе и в реальном мире) используют человеческие слабости:
• недостаточную подготовку;
• желание выделиться;
• тягу мгновенно разбогатеть или получить что-то даром;
• жалость и милосердие;
• желание посмотреть «интересные» картинки;
• интерес к продукту, который нужен некоторой части населения или который невозможно достать;
• интерес к методикам быстрого обогащения с помощью финансовых пирамид, суперидеям для успешного ведения бизнеса или беспроигрышной игры в казино;
• доверие к заплаткам, якобы направленным пользователю заботливым сотрудником компании Microsoft.