Важно. - НАШ ФОРУМ
[ Новые сообщения · Участники · Правила форума · Поиск ]
Friend: Rus-Hip-Hop.

Вы вошли как Гость

Текущая дата: Четверг, 2024.03.28, 11:40:37
Темный
Светлый (редактируем)
Голубой (редактируем)
Розобый (редактируем)
  • Страница 1 из 1
  • 1
НАШ ФОРУМ » Информационные и программные ресурсы » Вирусы и безопасность » Важно. (Полезнае статьи по безопасности.)
Важно.
BattleДата: Четверг, 2006.02.16, 01:11:44 | Сообщение # 1
Та все норм.
Группа: Администраторы
Сообщений: 864
Репутация: 2
Статус: Offline
ПРИВЕСТВУЮ ВАС!

По ходу вы тут не слючайно.
Тут будут выкладываться статьи определённо о безопасности сети.


Настали суровые времена.
Связь: LEONeso@gmail.com
 
BattleДата: Четверг, 2006.02.16, 01:12:29 | Сообщение # 2
Та все норм.
Группа: Администраторы
Сообщений: 864
Репутация: 2
Статус: Offline
Фильтры грубой и тонкой очистки трафика

Статья вытаскивает на ваше обозрение два способа фильтрации трафика в сети. Первый способ использует не совсем обычную фильтрацию входящих пакетов по IP адресам источника, по сути, реализует защиту от спуфинга, второй - фильтрацию пакетов в локальной сети или DMZ используя технологию PVLAN.

Надеюсь, эта статья будет полезна как администраторам, так и тем, кто занимается безопасностью сетей. К сожалению, обычно это разные люди.

Введение. О фильтрации вообще.
Вы только посмотрите на формат заголовка IP пакета (эта структура взята из исходников WinPCap)

typedef struct ip_header{
u_char ver_ihl; // Version (4 bits)
+ Internet header length (4 bits)
u_char tos; // Type of service
u_short tlen; // Total length
u_short identification; // Identification
u_short flags_fo; // Flags (3 bits) + Fragment offset (13 bits)
u_char ttl; // Time to live
u_char proto; // Protocol
u_short crc; // Header checksum
ip_address saddr; // Source address
ip_address daddr; // Destination address
u_int op_pad; // Option + Padding
}ip_header;

сколько полей требуют проверки на правильность уже на входе в сеть. Очевидно, у каждого поля существует множество значений которое определено в cтандарте RFC как имеющие какой-то смысл. И очевидно, что существует множество значений, которые не определены нигде, являются бессмысленными, и мы даже не можем предположить как эти значения будут восприняты хостом-получателем. Если у пакета хоть одно поле неправильное, то и весь он неправильный и он не должен засорять нашу сеть. Однако в настоящее время во многих сетях это не так. С такими пакетами разбирается на каждом хосте своя система защиты от атак (IPS). Я предлагаю не ждать, когда такие пакеты прибудут на хост получателя, а убивать их уже на входе в сети. Причем фильтровать и блокировать трафик мы можем последовательно начиная от канального и заканчивая уровнем приложений (в рамках модели ISO OSI). Это позволит разгрузить сеть и защитить от атак, которые пользуются тем, что мы "закрываем глаза" на неправильные пакеты.

Эта идея не нова. Намек на то, какие пакеты в вашей сети могут быть неправильными, содержится в правилах систем обнаружения атак. Системы обнаружения атак уже давно проверяют все поля пакетов и собирают статистику для анализа найденных неправильных пакетов, которую можно просмотреть и принять меры к наиболее назойливым. Мне больше всего нравится Snort, поскольку в нем все открыто для расширения возможностей. Это позволяет изменять стандартные правила или писать свои, анализировать статистику при помощи ACID и даже можно добавлять правила на блокирование IP адресов при помощи SnortSam в почти любой из известных на данное время FW: Cisco PIX, MS ISA, Checkpoint FW-1, Watchguard Firebox и встроенные в Linux и FreeBSD FW.

Однако, не ограничивая общности можно сказать, что у тех людей, которые пользуются какими бы то ни было системами обнаружения атак, например Сisco NetRanger, RealSecure(Proventia) или Snort, есть мечта: когда же наконец они прекратят генерировать ложные алерты. У меня, по крайней мере, есть такая мечта, поскольку у меня в четырех внешних сетках класса C постоянно происходит что-то новое, хотя типы информационных потоков уже давно устаканились. Я уже не получаю многие алерты типа BAD-TRAFFIC Unassigned/Reserved IP protocol, BAD TRAFFIC Non-Standard IP protocol, BAD-TRAFFIC loopback traffic, BAD-TRAFFIC same SRC/DST, BAD-TRAFFIC tcp port 0 traffic, не потому что я отключил эти правила, а потому что я заблокировал этот "плохой трафик" сразу же на входе. К сожалению, на сегодняшний день приходится игнорировать различные события, зная, что это обычная ложная тревога и заблокировать я это не могу, поскольку любой провайдер не должен блокировать трафик клиенту каким бы он ни был: опасным или просто бесполезным. Но уж "неправильный" трафик я себе блокировать позволяю: неправильные адреса, неправильные флаги, неправильные или опасные порты.

Понятно почему есть системы IDS, которые показывают администратору какой трафик является плохим, но нет программ, которые бы автоматически фильтровали трафик на входе и выходе ваших сетей так, чтобы Snortу было не на что было ругаться. Проблема в ложных алертах. Есть много правил у того же Snort, которые должны не просто детектировать нестандартное поведение, а сразу же его блокировать. Например логично заблокировать трафик который удовлетворяет условию BAD-TRAFFIC ip reserved bit set, то есть те пакеты у которых неправильно выставлен резервный бит. (Кстати, вспомните ли вы сходу какой firewall сможет проверить такое условие и заблокировать такой пакет? ;-) ) С другой стороны есть и алерты о полезности которых можно поспорить. Например, недавно стоящие у меня в сети eMule стали виновниками алертов BACKDOOR typot trojan traffic.

Итак, в идеале, с точки зрения систем обнаружения атак, нам нужно сделать так чтобы не срабатывали те правила, которые однозначно показывают, что фильтрация настроена неправильно. И правильно ее настроить - главная задача администратора.

Фильтр грубой очистки. Защита от спуфинга IP адресов.
Поскольку я пишу не книгу, а статью, то я сегодня докопаюсь лишь до одного поля IP пакета: source address. Известно, что там находится IP адрес источника пакета. И, насколько мне известно, в технологии Cisco SAFE советуют фильтровать это поле согласно RFC 2827 и 1918 для защиты от IP спуфинга. Давайте разберемся какие точно адреса мы должны блокировать. (Поле адреса получателя (destination address) должно быть в пределах выделенного вам адресного пула, поэтому тут рассуждать не о чем.)

Итак мы знаем, что начиная с 1 января 1983 года было введено понятие IP адреса 4 версии, который представляет из себя 32 битное число, которое мы обычно записываем в виде 4-х десятичных чисел, разделенных точкой. Существует организация Internet Assigned Numbers Authority (IANA), которая распределяет адреса во всем Интернет. Существуют четыре Regional Internet Registries (RIR) распределенных по миру: APNIC (Asia Pacific Network Information Centre) , ARIN (American Registry for Internet Numbers) , LACNIC (Latin American and Caribbean IP address Regional Registry), RIPE NCC, которые распределяют адреса между Internet Service Providers (ISP). И наконец существует табличка на сайте IANA, в которой записано какой блок адресов кому отдан.

Если попытаться классифицировать адреса, то кроме (изучаемых уже сейчас в школе) классов А,B,C,D,E мы обнаруживаем что существуют специальные адреса, определяемые не только RFC 1918, но и RFC 3330, и которые не должны быть использованы в Интернет.

1. Приватные адреса - зарезервированы под использование в локальных сетях согласно RFC 1918.

10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255
2. Адреса получаемые при автоматическом назначении IP адреса самому себе при отсутствии DHCP сервера и согласно RFC 3330 тоже не должны выходить за пределы локальной сети.

169.254.0.0 - 169.254.255.255
3. Loopback адреса используемые для проверки работы TCP стека. Используются каждым хостом только для самого себя.

127.0.0.0 - 127.255.255.255
4. Тестовый диапазон - должен использоваться в документациях и примерах кода.

192.0.2.0–192.0.2.255
5. Multicast адреса не могут стоять в поле источника. Только в поле получателя пакета, поскольку используются для обращения к группе хостов.

224.0.0.0 - 239.255.255.255
6. Зарезервированные и невыделенные никому адреса. Эти адреса перечислены все на той же табличке на сайте IANA. На 12 декабря 2004 года в резерве следующие блоки

0.0.0.0 - 2.255.255.255
5.0.0.0 - 5.255.255.255
7.0.0.0 - 7.255.255.255
23.0.0.0 - 23.255.255.255
27.0.0.0 - 27.255.255.255
31.0.0.0 - 31.255.255.255
36.0.0.0 - 37.255.255.255
39.0.0.0 - 39.255.255.255
41.0.0.0 - 42.255.255.255
49.0.0.0 - 50.255.255.255
73.0.0.0 - 79.255.255.255
89.0.0.0 - 126.255.255.255
173.0.0.0 - 187.255.255.255
189.0.0.0 - 190.255.255.255
197.0.0.0 - 197.255.255.255
223.0.0.0 - 223.255.255.255
240.0.0.0 - 255.255.255.255
Последний список впечатляет. И мы еще жалуемся, что нам не хватает адресов. И это я еще объединил несколько блоков адресов, если они находились рядом в списке.

7. Есть еще один класс адресов, который не может быть в поле sources. Это ваши собственные адреса. Те адреса Интернет, которые выделены вам и только вам провайдером. Очевидно, что никто кроме вас не имеет права пользоваться ими и вы должны блокировать любые попытки прислать пакет с адресом источника из вашего пула адресов. Тем более, что подстановка вашего адреса в поле sources может использоваться для реализации различных атак. Например, в атаке Land, посылается SYN-пакет с адресом отправителя, совпадающим с адресом получателя.

Итак, оказалось что существует достаточно большое множество адресов, которых не может быть в поле sources наших IP пакетов. Как правило, если в sources прописан один из перечисленных выше адресов, то это либо неправильно работающая у вышестоящего провайдера маршрутизация (выпускающая наружу неправильные адреса), либо возможная DOS атака. Именно поэтому я предлагаю заблокировать все перечисленные выше адреса на входе вашего маршрутизатора.

Суммируя вышесказанное, мы получаем достаточно приличный список адресов отправителя, который мы должны блокировать. Например, если вы используете маршрутизатор Cisco то access-list будет выглядеть следующим образом:

ip access-list extended complete_bogon
Используем именованный расширенный список доступа

<продолжение следует>


Настали суровые времена.
Связь: LEONeso@gmail.com


Сообщение отредактировал Battle - Четверг, 2006.02.16, 01:15:33
 
BattleДата: Четверг, 2006.02.16, 01:14:52 | Сообщение # 3
Та все норм.
Группа: Администраторы
Сообщений: 864
Репутация: 2
Статус: Offline
<продолжение>

deny ip 0.0.0.0 1.255.255.255 any
IANA Reserved

deny ip 2.0.0.0 0.255.255.255 any
IANA Reserved

deny ip 5.0.0.0 0.255.255.255 any
IANA Reserved

deny ip 7.0.0.0 0.255.255.255 any
IANA Reserved

deny ip 10.0.0.0 0.255.255.255 any
RFC 1918

deny ip 23.0.0.0 0.255.255.255 any
IANA Reserved

deny ip 27.0.0.0 0.255.255.255 any
IANA Reserved

deny ip 31.0.0.0 0.255.255.255 any
IANA Reserved

deny ip 36.0.0.0 1.255.255.255 any
IANA Reserved

deny ip 39.0.0.0 0.255.255.255 any
IANA Reserved

deny ip 41.0.0.0 0.255.255.255 any
IANA Reserved

deny ip 42.0.0.0 0.255.255.255 any
IANA Reserved

deny ip 49.0.0.0 0.255.255.255 any
IANA Reserved

deny ip 50.0.0.0 0.255.255.255 any
IANA Reserved

deny ip 73.0.0.0 0.255.255.255 any
IANA Reserved

deny ip 74.0.0.0 1.255.255.255 any
IANA Reserved

deny ip 76.0.0.0 3.255.255.255 any
IANA Reserved

deny ip 82.0.0.0 1.255.255.255 any
IANA Reserved

permit 88.0.0.0 0.255.255.255 our_net
разрешим доступ с адресом 88/8 в нашу сеть (чтобы не заблокировать ниже)

deny ip 88.0.0.0 7.255.255.255 any
IANA Reserved

deny ip 96.0.0.0 31.255.255.255 any
IANA Reserved и Loopback

deny ip 169.254.0.0 0.0.255.255 any
автоназначенные адреса

deny ip 172.16.0.0 0.15.255.255 any
RFC 1918

deny ip 173.0.0.0 0.255.255.255 any
IANA Reserved

deny ip 174.0.0.0 1.255.255.255 any
IANA Reserved

deny ip 176.0.0.0 7.255.255.255 any
IANA Reserved

deny ip 184.0.0.0 3.255.255.255 any
IANA Reserved

deny ip 189.0.0.0 0.255.255.255 any
IANA Reserved

deny ip 190.0.0.0 0.255.255.255 any
IANA Reserved

deny ip 192.0.2.0 0.0.0.255 any
Адреса для тестов.

deny ip 192.168.0.0 0.0.255.255 any
RFC 1918

deny ip 197.0.0.0 0.255.255.255 any
IANA Reserved

deny ip 198.18.0.0 0.1.255.255 any
IANA Reserved

deny ip 201.0.0.0 0.255.255.255 any
IANA Reserved

deny ip 222.0.0.0 1.255.255.255 any
IANA Reserved

deny ip 223.0.0.0 0.255.255.255 any
IANA Reserved

deny ip 224.0.0.0 31.255.255.255 any
Multicast и затем IANA Reserved

deny ip our_net any
блокируем наши адреса на входе

permit ip any our_net
разрешаем все остальное


our_net я обозначил ваш блок адресов. Например, он может выглядеть как 194.194.194.0 0.0.0.255 согласно правил написания access-listов.

Неважно где будет реализован этот метод фильтрации на вашем пограничном маршрутизаторе, межсетевом экране или даже на сервере, но самое главное что атакующий лишается возможности использовать адреса из несуществующих сетей. Хочу заметить, что если вы пользуетесь Cisco IOS последних версий (12.2 и выше), то вам не нужно этот access-list делать самому. Такой же access-list формируется простой (казалось бы) командой auto secure.

Команда auto secure делает ВСЁ за специалиста по компьютерной безопасности! Все что наработано на сегодняшний день по защите маршрутизаторов Cisco делается этой одной командой. Вы, конечно, должны представлять что она делает, когда вводите ее, но эта команда сделает все, даже если у вас нет никаких сертификатов и образования в этой области. sad Я вообще когда узнал про возможности auto secure решил, что вот и пришла пора бросать заниматься безопасностью и пойти утюги продавать - там и зарплата, говорят, больше и высшее образование не нужно. ;-) Зачем теперь специалисты, если все делается одной командой.

Однако у этого метода есть минус: вам нужно постоянно отслеживать изменения в таблице на сайте IANA http://www.iana.org/assignments/ipv4-address-space, чтобы после изменения этого списка вы изменили свой access-list. Например, последнее изменение было в августе этого года: выделены сети 71/8, 72/8 для ARIN. Я не знаю есть ли готовый скрипт для выполнения этой работы, но если вы найдете такой или напишете сами, то общество будет Вам благодарно. Есть одна страничка, где всегда хранится актуальный access-list http://www.cymru.com/Documents/secure-ios-template.html, но там список доступа слегка длинноват. Его можно сократить. Принцип сокращения такой

deny ip 0.0.0.0 0.255.255.255 any
deny ip 1.0.0.0 0.255.255.255 any

меняем на

deny ip 0.0.0.0 1.255.255.255 any

и так далее.

В случае если на входе в сеть нет такого фильтра, то возможно вам хочется настроить фильтр на своем собственном сервере или рабочей станции. Кстати авторы персональных FW могли бы взять это на вооружение. Это поможет защитить хост от DOS атак. Вот, например, пример атиспуфингового фильтра для BIND.

После того как мы разобрались с адресами, можно заняться другими полями IP пакета. Например, мне в сеть очень часто приходят tcp пакеты с портом 0. Почему бы вам не посмотреть какие порты используются в пакетах ходящих по вашей сетке.

Фильтр тонкой очистки или Isolated VLAN.
Теперь посмотрим на трафик во внутренней сети. Одним из ключевых факторов построения безопасной конфигурации сети является точное определение всех объектов сети и точное понимание с кем нужно обмениваться информацией каждому из этих объектов и какой вид трафика при этом порождается. Весь другой трафик между этими объектами должен быть отклонен.

Давайте рассмотрим на примере Демилитаризованной зоны (DMZ). Считается правильным выделять сервера компании в отдельную сеть, защищенную как от пользователей из Интернет, так и от внутренних пользователей. Как говорят, доверяй, но проверяй. На картинке показаны два возможных варианта реализации: DMZ располагается между двумя Firewall и DMZ висит на одном из портов Firewall.

Итак, межсетевые экраны фильтруют трафик, приходящий из Интернет и из локальной сети. И, как правило, дизайнеры сети успокаиваются на этой схеме. Все сервера подключаются через один свитч и оказываются в одном широковещательном домене. Однако нужно ли взаимодействие между серверами в DMZ друг с другом? Нужно смотреть в каждом конкретном случае. Можно предположить, что если будет взломан один из серверов DMZ, то с этого сервера возможна атака на соседний сервер, тем более что мы на этапе проектирования никак не защитили один сервер от другого. Таким образом, в тех случаях, когда серверы не должны функционировать друг с другом рекомендуется делать несколько отдельных DMZ. Однако лучшим вариантом является использование PVLAN. Если порты, к которым подключены серверы не будут пересылать пакеты друг другу на канальном уровне, то не будет никакого трафика между серверами и единственный способ для них связаться друг с другом - пройти через Firewall, на котором это соединение должно быть разрешено и передано на нужный порт. Такие порты которые не передают трафик друг другу на канальном уровне называются изолированными.

Та же идея применима и к компьютерам внутри локальной сети. Внимательно проанализируйте информационные потоки и явно задайте при помощи свитча, между какими компьютерами возможен обмен данными.

Данная технология появилась недавно и реализована только на последних свитчах фирмы Cisco. Список оборудования которое поддерживает PVLAN можно посмотреть на сайте в таблице.

С помощью этого же механизма можно объединять пользователей в группы (community), в пределах которых организуется их "выделенное" общение. При этом и изолированные пользователи, и группы могут передавать свой трафик в так называемые публичные (promiscuous) порты, на которых работает маршрутизатор, межсетевой экран и система обнаружения атак.

У Сisco PVLAN реализован так, что трафик, который приходит на promiscuous порт может быть распределен по любым другим портам типа isolated и community. Трафик, который приходит на isolated порт может быть направлен только на promiscuous порт. Трафик, который приходит на community порт может быть направлен на promiscuous порт и на порты принадлежащие этой же community.

Таким образом, даже находясь в одном VLAN хосты у которых в схеме информационных потоков не должно быть взаимного трафика не будут получать ни единого пакета друг от друга. Единственная возможность обменяться информацией – прописать явно правило на межсетевом экране или маршрутизаторе разрешающее передавать пакеты между ними. Но это правило уже работает на третьем уровне модели OSI и в этом случае можно применять access-list и правила межсетевого экрана для явного указания разрешенных портов и протоколов.

Если копнуть более глубоко, то когда хост 1 посылает ARP запрос (в поиске MAC адреса хоста 2 с нужным ему IP из той же подсети) хост 2 не получает это запрос и не отвечает хосту 1, поскольку оба сидят на изолированных друг от друга портах. Мы добились того, что хост 1 считает, что хост 2 недоступен и наоборот. Таким образом решается задача контроля трафика внутри сети и, самое главное, не нужно разбивать сеть на подсети. Мы можем безболезненно наложить технологию PVLAN на уже имеющиеся сети.

Когда же нам становится нужно, чтобы сервера общались друг с другом, то маршрутизатор (или firewall) может ответить, что этот хост доступен через него. Эта техника называется Proxy ARP. Хост 1 думает, что хост 2 находится в другом сегменте и посылает IP пакет через маршрутизатор (или firewall). То есть получается, что в пакете стоит MAC адрес маршрутизатора, и IP адрес хоста 2. А вот маршрутизатор (или firewall) уже решает передавать пакет хосту 2 или нет.

Надо заметить, что есть и уязвимость этого метода: если у вас используется маршрутизатор который не имеет никаких правил доступа и, не задумываясь, маршрутизирует все пакеты, что к нему приходят, то злоумышленник с хоста 1 может специально послать пакет с МАС адресом маршрутизатора, но с IP адресом хоста 2. Такой пакет пройдет через isolated port к маршрутизатору и затем будет послан маршрутизатором на хост 2. Поэтому, надо либо добавить правила доступа на маршрутизаторе (или firewall) запрещающие или разрешающие такие пакеты явно, либо пользоваться дополнительно VLAN Access Control List (VACL) на свитче.

Раньше в рамках одного свитча была похожая возможность которая называлась protected port, но она работала только в пределах одного свитча и информация о protected портах не передавалась по транкам. Сейчас это понятие расширено и дополнено community портами.

Технология PVLAN может быть практически реализована на достаточно большом количестве выпускаемых в настоящее время управляемых коммутаторов имеющих порты Ethernet со скоростью работы 10/100/1000 мегабит в секунду.

Конкретная реализация этих схем на свитчах Cisco описана здесь.

Мир вашему дому.

<END>


Настали суровые времена.
Связь: LEONeso@gmail.com
 
BattleДата: Четверг, 2006.02.16, 01:26:33 | Сообщение # 4
Та все норм.
Группа: Администраторы
Сообщений: 864
Репутация: 2
Статус: Offline
Отслеживание загрузки шпионских программ в системе Windows.

Последнее время в Интернете часто встречаются вопросы о том, что при использовании Internet Explorer происходит смена стартовой страницы, при загрузке по ссылке открываются совершенно другие страницы. Я сам столкнулся с этим и поэтому изучал проблему на себе. Первое, что советовали, это воспользоваться спецпрограммами типа Ad-aware и Антивирус Касперского с новыми базами. Это правильно и на какое-то время решает проблему, но потом опять все повторяется. Я же решил выяснить вручную где прописывается шпион и как мне кажется выяснил это. Я не писатель и не журналист, стиль моей писанины прошу не критиковать, пишу потому что сам не нашел в одном месте подробного описания как и что происходит и решил восполнить это. Может кому будет интересно.

Итак, встретившись с тем, что ваш Internet Explorer стал загружать не те ссылки, первое что можно посоветовать - это поставить Ad-aware и Антивирус Касперского с новыми базами и просканировать компьютер. Но если вы хотите сами решить эту проблему, то моя статья для Вас. Также я постараюсь описать свои действия подробно, может кому из начинающих пригодится в качестве методики поиска шпионов. Специалистам это может будет излишне. Они и без меня это знают, поэтому я адресую статью в первую очередь для начинающих.

Для наблюдений я использовал два компьютера: на работе Windows XP без сервис паков и дома сначала также Windows XP без сервис паков, потом поставил последовательно SP-1 и SP-2.

Когда я впервые столкнулся с этой проблемой, то для выяснения где же что грузиться стал проверять, во-первых, пункт «Автозагрузка». У меня в нем стоит только загрузка офиса. Во-вторых, ключи реестра ответственные за автозагрузку программ: это раздел реестра
HKEY_LOCAL_MACHINE\Software\Microsoft\Win dows\CurrentVersion
а в нем подразделы Run, RunOnce, RunOnceEx, RunServices, RunServicesOnce. В этих разделах есть строковые ключи (некоторые разделы пустые), отвечающие за запуск программ. Название ключа может быть произвольным, а в качестве значения у них указывается запускаемая программа, если надо - то с параметрами. Обратите внимание на разделы, в названии которых присутствует "Once". Это разделы, в которых прописываются программы, запуск которых надо произвести всего один раз после следующей загрузки системы. Например, при установке новых программ некоторые из них прописывают туда ключи, указывающие на какие-нибудь настроечные модули, которые запускаются сразу после перезагрузки компьютера. Такие ключи после своего запуска автоматически удаляются. В параметре
HKEY_LOCAL_MACHINE\Software\Microsoft\W indows\CurrentVersion\Run
я нашел одну программу с именем из произвольного набора букв. Программа была записана в папке Windows, дата создания оказалась свежая. Поняв что это шпион, решил потом с ним разобраться. Владельцам линейки Win98 рекомендую заглянуть еще и в файл win.ini в раздел [windows]. В нем есть два параметра load и run. Если в них записаны какие то программы, то стоит проверить какие именно и нужны ли они Вам. Кроме этого в реестре есть параметр
HKEY_LOCAL_MACHINE\Software\Microsoft\Wi ndows NT\CurrentVersion\AppInit_DLLs
В нем можно прописать DLL которые будут грузиться при всех загрузках во все запускаемые Windows процессы, которые используют библиотеку User32.DLL. У меня этот параметр пустой.

Таким образом все проверив я нашел только одного шпиона в параметре реестра, отвечающего за автозагрузку программ. Перезагрузив компьютер я сразу вывел на экран диспетчер задач Windows и понаблюдал, как этот процесс загрузившись при старте системы отработал несколько минут и выгрузился. Решив что он загружает DLL в память и уже потом она играет роль шпиона, я этот параметр удалил из реестра и из папки Windows.

Проверил ключи реестра:

1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\URL\Default Prefix
Значение параметра по умолчанию должно быть "http://"

2. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\URL\Prefixe s
Там должны быть следующие значения параметров:

"ftp"="ftp://"
"gopher"="gopher://"
"home"="http://"
"mosaic"="http://"
"www"="http://"

и не должно быть никаких адресов интернет. У меня там стояли url, которые я и удалил.

Решив, что со шпионом покончено, я успокоился и некоторое время работало все нормально, но через несколько дней повторилось опять то же самое, что было сразу заметно т.к. менялась стартовая страница. Решив, что работая в Интернете я опять ловлю заразу, я также вручную убрал из автозагрузки появившийся файл, в имени которого были уже другой набор букв, но сравнение файлов с предыдущим выдавало, что они одинаковы. Удалил файл и исправил ключи реестра, т.к. там опять прописывались url. Конечно можно было сразу накатить сервис паки, но я решил наблюдать что же будет дальше. Дома поставил SP-1. Поработав я стал более внимательно следить и обратил внимание, что в один день произошли изменения страницы и url в то время, когда я не был подключен к Интернету. Заражение так же произошло и на домашнем компе при работе в Интернет. До этого он не был заражен из чего я сделал вывод что SP-1 не является защитой от используемой шпионом дыры.

Вывод: шпион так и сидел на рабочем компе; на домашнем только что произошло заражение, только вносил изменения он видимо не сразу, а через несколько дней, видимо чтобы привлекать меньше внимания. Если бы он сразу вносил изменения после меня, то я бы раньше сообразил, что шпион продолжает работать и не прекратил бы поиски. А так я потерял несколько недель, думая что ловлю шпиона из Интернета, в то время, как он сидел у меня и продолжал работать.

Проверяя компьютер, и, в первую очередь, папку Windows по дате создания файлов, я обратил внимание на файл qwe7972.ini в папке Windows\System32. Особенность его была в том, что после каждой перезагрузки у него менялась дата и время создания файла, т.е. при каждой загрузке какая-то программа пишет в файл информацию. Причем информация в файле была нечитаемая - просто набор символов в строках. По виду похож на другие ini файлы, т.е. также в файле [разделы], в разделах параметр=значение_параметра, только информация была зашифрована. Сразу вывод, что информацию пытаются от нас скрыть и, естественно, таким файлом надо заинтересоваться. Если бы это была система, то были бы обычные записи хотя бы и на английском. Отсортировав файлы в папке по имени я увидел файл qwe7972.dll. Естественно напрашивается вывод что именно эта библиотека и пишет инфу в файл, учитывая что у них одинаковые имена и дата создания DLL свежая, а систему я ставил давно и никаких обновлений не проводил, во всяком случае на рабочем компе. Поэтому файл с такой датой никак не мог попасть на компьютер в результате моих действий. Осталось разобраться как библиотека грузится. Убрав шпиона из автозагрузки (как я уже писал файл с именем из набора букв) и перезагрузившись я увидел, что время файла qwe7972.ini изменилось, следовательно библиотека продолжает грузиться и работать. Попробовал удалить библиотеку, но система выдала, что объект заблокирован, что подтвердило догадку о работе библиотеки в данный момент. Воспользовавшись программой ProcessInfo из прилагаемых к книге Рихтера «Windows для профессионалов», я посмотрел какие процессы грузят эту DLL. Это оказался EXPLORER и только он ей пользовался (есть и другие проги для просмотра инфы о процессах, но я в то время читал книгу Рихтера и для опыта использовал его проги). Я сравнил файл EXPLORER с рабочего компа с заведомо исправным файлом с дистрибутива Windows. Оказалось, что они одинаковы и на тот момент у меня не возникло версий как же грузится библиотека, т.е. изменений в заголовок файла не вносились. Перезагрузив комп в безопасном режиме я эту библиотеку удалил. Из антивирусников на то время я использовал Нортон Антивирус с новыми базами, обновляемыми раз в неделю, но Нортон на эту библиотеку не ругался. Я поставил Касперского 5 с новыми базами. В копии этой библиотеки Каспер увидел шпиона.

Около месяца все было нормально пока у меня не был решен один вопрос - как же библиотека грузилась? Через месяц на рабочем компе я опять увидел проблемы, стартовая страница уже так явно не менялась, но происходили изменения url в реестре и при работе в IE открывались совсем другие ссылки, а не те, на которые я нажимал. Идя проторенным путем я обнаружил в папке Windows\System32 библиотеку qweХХХХ.dll, где вместо "ХХХХ" уже другие цифры, а также ini файл с тем же именем. Стоящий на компе Каспер уже не видел в ней шпиона.

Перезагрузившись в безопасном режиме я эту библиотеку удалил. Все опять встало на места. Обновил базы Каспера. Но мне все не давала покоя мысль как библиотека грузилась. Я проверял все ключи ответственные за автозагрузку программ, там удалял все подозрительное, и, даже когда там оставались только необходимые программы, которым я доверяю, библиотека все равно грузилась. Читая литературу я встретил информацию, что есть и еще возможность загрузки которую я не проверял.

В Internet Explorer встроена технология Browser Object Helper. Данная технология позволяет встраивать другим программам свои плагины в IE и выполнять какие-то действия во время его работы. Так, например, поступают качалки. У меня стоит FlashGet. Данная технология может быть использована и для наблюдения за действиями пользователя в IE и вместо его действий выполнять свои, в том числе для загрузки других страниц вместо тех на которые хотим перейти по ссылке.

Объекты загружаемые через BHO хранятся в ключе:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wind ows\CurrentVersion\Explorer\Br owser Helper Objects
где перечислены значения с именем равным CLSID загружаемого объекта. В ключе
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
н аходим по CLSID раздел с именем этого CLSID. В нем можно посмотреть параметры объекта, в том числе и путь до загружаемой библиотеки в параметре \InprocServer32\(По умолчанию)="путь до загружаемого объекта".

Посмотрев данные ключи я увидел, что через них грузились эти DLL, и хотя фактически сами файлы я удалил, но ключи ответственные за загрузку остались на месте. Т.е. EXPLORER не изменялся, он оставался именно тем каким и был при установке WINDOWS, другие проги не грузили библиотеки, использовалось то, что было встроено разработчиками. При загрузке EXPLORER просматривал ключи реестра и подгружал библиотеки. Если какой-то из них не было, то это просто пропускалось не выводя никаких сообщений.

Таким образом можно вручную разобрать что нам надо в данных ключах реестра, а что нет, и удалить шпиона. А можно воспользоваться спецпрограммами, например, BHO Captor или WinPatrol. Последняя мне особенно понравилась, так как кроме этого выдает много другой полезной информации по тому что запускается на компе. Но первая, что хорошо, имеет в комплекте исходные тексты на DELPHI. Во всяком случае, та версия которую я скачал. По исходникам можно посмотреть используемые ключи реестра.

Вот в принципе и все, что я хотел рассказать в своей статье. Технология загрузки BHO для меня была открытием. Если о вышеописанных ключах и методах загрузки я слышал ранее и при поиске шпиона их использовал, то BHO я открыл для себя впервые, и ранее в общедоступных местах я не встречал описания этого, поэтому решил восполнить пробел.

Конечно, если использовать более новые версии программ для наблюдения за системой и регулярно обновлять базы, то эти шпионы будут удалены (Каспер также сообщает, что объект DLL заражен и удалить его невозможно, т.к. он заблокирован. Приходилось перезагружать в безопасном режиме и удалять вручную), но для меня было интересно разобраться самому где это происходит. Кроме того хочется сказать слово в пользу установки сервис паков: хотя SP-1 позволял шпиону пролезть в систему, то SP-2, стоящий у меня дома, пока не дает этого сделать. Видимо дыру, через которую шпион лез на компьютер, он закрывает. Сейчас подумываю и на работе установить сервис паки.

Еще раз повторюсь - моя статья для начинающих, специалистов прошу меня не ругать. Возможно Вам это было уже давно известно, но ранее среди ответов на решение данной проблемы ссылку на технологию BHO я не видел.

Спасибо.

От редактора: все описанные в статье разделы реестра, отвечающие за загрузку программ, адреса интернет, загрузку BHO в Internet Explorer, также находятся в разделах HKEY_CURRENT_USER и HKEY_USER\.DEFAULT. Не забывайте проверять и их.


Настали суровые времена.
Связь: LEONeso@gmail.com


Сообщение отредактировал Battle - Четверг, 2006.02.16, 01:27:34
 
BattleДата: Четверг, 2006.02.16, 01:44:23 | Сообщение # 5
Та все норм.
Группа: Администраторы
Сообщений: 864
Репутация: 2
Статус: Offline
Защита текстового контента в Интернете.

Проблемы и решения.

Соблюдение авторского права, защита интеллектуальной собственности, технология защиты изображений водяными знаками, защита информации в Интернет - эти словосочетания все чаще можно увидеть и услышать в российском Интернете. Это и не удивительно, ведь Интернет весьма привлекательная среда, как для любительского самиздата, так и для профи - писателей и публицистов, издателей и библиотек, научных коллективов, институтов дистанционного обучения и для многих других.

Очевидно, что привлекательность среды Web обусловлена, прежде всего, доступностью и простотой размещения документов и материалов. Но имеется и обратная сторона медали, негативная. Негатив связан с нарушением авторского права и интеллектуальной собственности, несанкционированным копированием и незаконным коммерческим тиражированием, присвоением материалов. Простота доступа к среде Web оборачивается большими проблемами в защите интеллектуальной собственности и в защите прав владельцев. К наиболее сложным задачам относится задача защиты или, по крайней мере, ограничения незаконного копирования текстовой информации. Из анализа публикаций на эту тему можно сделать вывод, что в настоящее время еще нет даже четкой формулировки пути к решению этой проблемы. Вместе с тем, можно привести несколько интересных технологий, ограничивающих несанкционированное присвоение текстовой информации.

Международной организацией Digital Object Identifier (DOI) разработана система идентификации интеллектуальной собственности, которая получила название - цифрового идентификатора объекта (DOI). Основу этой международной организации составляют фирмы издательской индустрии и, в частности, Ассоциация Американских Издателей (http://www.publishers.org). Предназначение DOI состоит в том, чтобы связывать клиентов с издателями, облегчать электронную торговлю, и осуществлять автоматизированное управление авторским правом. На сайте http://www.doi.org была представлена демонстрационная версия системы DOI, Демоверсия, на этом сайте, используется в качестве навигатора. Подчеркнутый текст ссылок содержит цифровой идентификатор DOI вложенный в URL, которому "разрешено" проникать через proxy сервер. В реальной же ситуации клиентам должна предоставляться услуга внедрения в HTML страницы метаданных цифрового идентификатора. Затем системой DOI осуществляется регистрация HTML страниц и накопление метаданных в банках данных DOI.

В аналогичном ключе в рамках стратегии компании Дукс по правовой защите, в сети Интернет была анонсирована услуга, представляющая собой "Web-депозитарий", который будет предназначен для защиты содержания публикаций в Интернет. Защита авторских и смежных прав будет достигаться на основе безусловной регистрации и помещения страниц и сайтов клиентов в специальный депозитарий. Последнее обстоятельство, по мнению авторов, расширит возможности по доказательству приоритета в спорных ситуациях.

Совсем иное направление для решения поставленной выше задачи было предложено Web Professionals, Inc. (http://www.indus.net/). Здесь предполагается, что доступ к большинству информационных ресурсов разрешен всем. К отдельным же материалам, частного характера, доступ ограничен с помощью кодирования этих документов. Задача кодирования и задача декодирования решается с помощью программного обеспечения на Java, выполняющего эти процедуры по так называемой технологии "на лету". Одна программа-приложение осуществляет кодирование информации в среде сервера. При этом закодированный текст заносится в HTML страницу в виде "специального комментария". Вторая программа-апплет выполняет декодирование в среде браузера. Апплет ищет специальный комментарий, и когда находит, то декодирует данные и ждет ввода ключа-пароля для открытия этих данных.

Общим недостатком, приведенных выше подходов, является наличие, в той или иной степени, ограничений для доступа к текстовым ресурсам. При разработке же системы DOI и апробации новых технологий по защите интеллектуальной собственности, Ассоциация Американских Издателей предполагала, что главное достоинство, которым должна обладать такая технология состоит в соблюдении баланса между открытостью и защищенностью (http://www.scripting.com/seybold/stories/960702.html). Попытка реализации подобной концепции (технология GraphicText) как раз и представлена в настоящей публикации.

Технология GraphicText.

Как уже отмечалось у многих авторов, издательств, фирм возникает проблема, как защитить свои публикации и документы, хранящиеся в виде файлов от пользователей, пытающихся скопировать или изменить содержимое с целью последующего коммерческого тиражирования. При этом перед авторами и фирмами встает дилемма, как с одной стороны не допустить несанкционированное копирование содержимого файла, а с другой стороны - обеспечить свободный доступ к материалам всех клиентов и потенциальных покупателей. Здесь напрашивается сравнение с обычной библиотекой. Доступ к книгам и журналам является свободным, имеется даже возможность ксерокопирования или фотографирования (за отдельную плату), однако доступ к печатному набору отсутствует!

Как достигнуть подобного эффекта в сети Интернет или в случае записи файлов на CD? По-видимому, можно назвать три основных подхода - представление файлов в некотором "своем" формате, шифрование материалов, представление на экране монитора текстовой информации в графическом режиме. В этой статье, конечно, невозможно более или менее подробно рассмотреть все pro и contra данных подходов. Примерами "своего" формата могут служить такие известные форматы как DjVu и PDF. Однако, файлы текста в DjVu или в PDF форматах могут быть легко сохранены на диск пользователя. Относительно систем кодирования текстовой информации можно констатировать, что шифросистемы уже давно используется для противодействия несанкционированному доступу к текстовым данным в Интернете. Преобразование текста в один из графических форматов, чаще всего применяется к большим объемам текста (техническим описаниям, книгам, журналам), и является мало привлекательным для пиратского копирования. Разумеется, что текст представленный в графическом режиме может и должен быть дополнительно защищен графическими водяными знаками. Отображенный в графическом режиме текст нельзя непосредственно скопировать в файл. Для этого необходимо сначала запомнить "экран" в буфере обмена Windows, затем раскрыть содержимое буфера обмена в окне какого-нибудь графического пакета (например, Adob PhotoShop), и только затем скопировать в файл.

Именно такое решение, связанное с предварительным шифрованием и размещением закодированного текстового материала на сервере (базе данных), и последующем декодированием и отображением в графическом режиме в среде браузера, мы и предлагаем. При этом вопрос степени защищенности сводится к вопросу целесообразности восстановления текста из защищенного цифрового изображения. Целесообразность же состоит в том, что затраты на восстановление текста из изображения должны превышать затраты, связанные со сканированием бумажного оригинала. А дело именно так и обстоит, так как кроме процедуры захвата изображения требуется процед*ра удаления водяных знаков с помощью графического пакета и процед*ра распознавания графического текста с помощью программных пакетов типа FineReader. Если размер текстовых страниц по высоте выбрать немного больше, чем вертикальный размер экрана, то изображение текста придется захватывать дважды. При этом добавиться процед*ра редактирования для объединения двух частей страницы в одну. Если же к рассмотренной технологии добавить этап регистрации как текстовых материалов, так и пользователей, то можно гарантировать доказуемость авторского права или права владельца информации.

Программное обеспечение.

Для технической реализации рассмотренного подхода требуется программное обеспечение для кодирования и для декодирования текстовых файлов. Программа для подготовки кодированных текстов может располагаться на любом компьютере и работать в среде Windows. Полученные после кодирования файлы переносятся на сервер (в базу данных) в формате TXT. На сервере размещается также и программа для декодирования и одновременного отображения текста в графическом режиме в окне браузера. Такой программой может быть Java-апплет, работающий в среде браузера. При запросе пользовательским браузером некоторого сетевого ресурса (предварительно закодированного), в браузер считывается HTML страница, содержащая теги апплета. Апплет запрашивает с сервера требуемый ресурс, декодирует текст, и затем "на лету" отображает на экране монитора в графическом режиме. Графический текст одновременно замешивается с видимыми водяными знаками или цветным фоновым изображением. Для кодирования и декодирования файлов используются кодовые ключи, которые могут быть различными для различных сетевых ресурсов (текстовых файлов). Ключи, в свою очередь, также кодируется и размещается в тегах апплета. Таким образом, единовременный взлом (если такое случиться) апплета не позволит декодировать файлы, которые открываются другими ключевыми словами. Несомненно, что защищенность апплета от взлома может усиливаться.

Демонстрационная версия GraphicText .

Работа с демоверсией начинается с идентификации пользователя - предлагается ввести пароль. Если пользователь предварительно не зарегистрировался, то доступ к ресурсу будет невозможен. В демонстрационной версии этап регистрации не задействован. Так что можно смело набрать код: 54321.

После этого будет запрошен соответствующий ресурс, и декодированный текст с помощью апплета отобразиться в окне браузера. Прозрачным (видимым) водяным знаком служит изображение символа "copyright", растянутого на весь текст. В качестве водяного знака также может использоваться название фирмы, аббревиатура логотипа, торговая марка и т.п. или прозрачный цветной фон.

Кардинальным решением, обеспечивающим лучшую защиту, может быть замешивание текста с цветным фоновым изображением, например текстурным. При этом сам текст также будет выводиться на экран в цвете с плавно изменяющейся палитрой. Закон изменения цветовой палитры текста выбирается таким образом, чтобы гистограмма текста пересекалась бы с гистограммой фонового изображения. В этом случае, для восстановления текста из текстурного рисунка потребуется последовательная обработка отдельных участков "смеси" текста и текстурного фона. И наконец, в текстурный фон можно встроить скрытый водяной знак, несущий информацию, например, о владельце ресурса. При этом, сам факт наличия подобной информации будет скрыт.

Заключение.

Представленная технология не рассчитана на стопроцентную защищенность от фанатичных пиратов и взломщиков, для которых экономические затраты ничего не значат. Вместе с тем, для подавляющей части пользователей сети Интернет, технология GraphicText будет являть собой вполне ощутимый как физический, так и правовой барьер. Как нам кажется, рассмотренная технология защиты интеллектуальной собственности будет способствовать правовому регулированию взаимоотношений, формированию правовой среды в среде Web.


Настали суровые времена.
Связь: LEONeso@gmail.com
 
BattleДата: Четверг, 2006.02.16, 02:05:15 | Сообщение # 6
Та все норм.
Группа: Администраторы
Сообщений: 864
Репутация: 2
Статус: Offline
Рекомендации CERT по LoveSan:

ПЕРВАЯ

СВИДЕТЕЛЬСТВО - Консультативная CA-2003-19 Эксплуатация Уязвимости в Microsoft RPC Интерфейс
Первоначальная(Оригинальная) дата проблемы(выпуска): 31 июля 2003
Последний пересмотренный: 31 июля 2003 21:25 UTC-0400
Источник: СВИДЕТЕЛЬСТВО/МАШИНОПИСНАЯ КОПИЯ
Полная история пересмотра - в конце этого файла.
Системы, которые затрагивают
Windows NT Microsoft 4.0
Windows NT Microsoft 4.0 Предельных Издания Услуг
Windows 2000 Microsoft
Windows Microsoft XP
Сервер Windows Microsoft 2003

Краткий обзор
СВИДЕТЕЛЬСТВО/МАШИНОПИСНАЯ КОПИЯ получает сообщения широко распространенного просмотра и эксплуатации двух недавно обнаруженной уязвимости в Microsoft Отдаленный Запрос Процедуры (RPC) Интерфейс.


I. Описание
Сообщения к СВИДЕТЕЛЬСТВУ/МАШИНОПИСНОЙ КОПИИ указывают, что злоумышленники активно просматривают для и эксплуатируют уязвимость в DCOM Microsoft RPC интерфейс как описано в VU*568148 <http://www.kb.cert.org/vuls/id/568148> и CA-2003-16 <http://www.cert.org/advisories/CA-2003-16.html>. Многократные деяния для этой уязвимости были публично выпущены, и есть активное развитие улучшенных и автоматизированных инструментов деяния для этой уязвимости. Известная цель деяний TCP порт 135 и создает привилегированный закулисный снаряд(раковину) команды на успешно компрометированных хозяевах. Некоторые версии деяния используют TCP порт 4444 для задней двери, и другие версии используют TCP число(номер) порта, указанное злоумышленником во времени выполнения. Мы также получили сообщения просмотра деятельности для общих(обычных) закулисных портов типа 4444/TCP. В некоторых случаях, из-за завершения обслуживания(службы) RPC, ставившая под угрозу(скомпрометированная) система может переботинок после того, как к задней двери обращается злоумышленник.
Кажется, будет отдельная уязвимость опровержения-обслуживания в интерфейсе RPC Microsoft, который также преследуется. Базируемый на текущей информации, мы полагаем, что эта уязвимость является отдельной и независимой от RPC уязвимости, к которой обращаются(адресуют) вMS03-026 <http://microsoft.com/technet/security/bulletin/MS03-026.asp>. СВИДЕТЕЛЬСТВО/МАШИНОПИСНАЯ КОПИЯ отслеживает эту дополнительную уязвимость какVU*326746 <http://www.kb.cert.org/vuls/id/326746> и продолжает работать, чтобы понять стратегии уменьшения и проблему(выпуск). Кодекс деяния для этой уязвимости был публично выпущен и также цели TCP порт 135.
В обоих из нападений, описанных выше, TCP сессия к порту 135 используется, чтобы выполнить нападение. Однако, доступ к TCP портам 139 и 445 может также обеспечить векторы нападения и нужно рассмотреться(счесть) при применении(обращении) стратегий уменьшения.
II. Воздействие
Отдаленный нападавший мог эксплуатировать эту уязвимость, чтобы выполнить произвольный кодекс с Местными привилегиями Системы или причинять опровержение условия(состояния) обслуживания(службы).
III. Решения
Примените заплаты
Все пользователи поощрены применить заплаты, упомянутые в Бюллетене Безопасности MicrosoftMS03-026 <http://microsoft.com/technet/security/bulletin/MS03-026.asp>как можно скорее чтобы смягчить уязвимость, описанную вVU*568148 <http://www.kb.cert.org/vuls/id/568148>. Эти заплаты также доступны черезМодернизацию WindowsMicrosoft<http://windowsupdate.microsoft.com/>обслуживают.
Системы, управляющие Windows 2000 могут все еще быть уязвимы к по крайней мере опровержению нападения обслуживания(службы) черезVU*326746 <http://www.kb.cert.org/vuls/id/326746>, если их DCOM RPC обслуживание(служба) доступен через сеть. Поэтому, участки(сайты) поощрены использовать подсказки(чаевые) фильтрования пачки ниже в дополнение к применению(обращению) заплат, снабженных вMS03-026 <http://microsoft.com/technet/security/bulletin/MS03-026.asp>.
Движение сети фильтра
Участки(Сайты) поощрены блокировать доступ сети к обслуживанию(службе) RPC в границах сети. Это может минимизировать потенциал нападений опровержения-обслуживания, происходящих снаружи периметра. Определенные услуги, которые должны быть блокированы, включают
135/TCP
135/UDP
139/TCP
139/UDP
445/TCP
445/UDP
Если доступ не может быть блокирован для всех внешних хозяев, свидетельство/МАШИНОПИСНАЯ КОПИЯ рекомендует доступ ограничения только тем хозяевам, которые требуют этого для нормального действия. Как правило, свидетельство/МАШИНОПИСНАЯ КОПИЯ рекомендует фильтрованию все типы движения сети, которые не требуются для нормального действия.
Поскольку текущие деяния дляVU*568148 <http://www.kb.cert.org/vuls/id/568148> создают заднюю дверь, которая является в некоторых случаях 4444/TCP, блокируя прибывающие TCP сессии к портам, на которых никакие законные услуги не обеспечены, может ограничить доступ злоумышленника компрометированными хозяевами.
Восстановление от компромисса системы
Если Вы полагаете, что система при вашем административном контроле(управлении) была скомпрометирована, пожалуйста следуйте за шагами, выделенными в
Шаги для того, чтобы Оправляться от UNIX или NT Компромисса Системы <http: // www.cert.org/tech_tips/win-UNIX-system_compromise.html>
Сообщение
СВИДЕ ТЕЛЬСТВО/МАШИНОПИСНАЯ КОПИЯ отслеживает деятельность, связанную с эксплуатацией первой уязвимости (VU*568148 <http://www.kb.cert.org/vuls/id/568148> как CERT*27479 и второй уязвимости (VU*326746 <http://www.kb.cert.org/vuls/id/326746> как CERT*24523. Уместным экспонатам или деятельности можно послать cert@cert.org с соответствующим СВИДЕТЕЛЬСТВОМ * на подчиненной линии.

Приложение A. Информация Продавца
Это приложение содержит информацию, обеспеченную продавцами. Когда продавцы сообщают о новой информации, эта секция обновлена, и изменения(замены) отмечены в истории пересмотра. Если продавец не упомянут ниже, мы не получили их комментарии.

Microsoft <http: // www.microsoft.com/>
Пожалуйста см. Бюллетень Безопасности MicrosoftMS03-026 <http://microsoft.com/technet/security/bulletin/MS03-026.asp>.


Приложение B. Ссылки(рекомендации)
Примечание Уязвимости СВИДЕТЕЛЬСТВА/МАШИНОПИСНОЙ КОПИИ VU*561284 - <http://www.kb.cert.org/vuls/id/561284>
Примечание Уязвимости СВИДЕТЕЛЬСТВА/МАШИНОПИСНОЙ КОПИИ VU*326746 -<http://www.kb.cert.org/vuls/id/326746>
Бюллетень Безопасности Microsoft MS03-026 -<http://microsoft.com/technet/security/bulletin/MS03-026.asp>
Статья(Изделие) Основы Знания Microsoft 823980 -<http: // support.microsoft.com? kbid=823980>

Авторы:Чад Dougherty и Кевин Ху <mailto:cert@cert.org? subject=CA-2003-19%20Feedback>

Этот документ доступен от:<http://www.cert.org/advisories/CA-2003-19.html>

Информация Контакта СВИДЕТЕЛЬСТВА/МАШИНОПИСНОЙ КОПИИ
Пошлите по электронной почте: cert@cert.org <mailto:cert@cert.org>
Звоните: +1 412-268-7090 (24-часовая экстренная связь)
Факс: +1 412-268-6989
Почтовый адрес:
Центр Координации СВИДЕТЕЛЬСТВА
Институт Разработки Программного обеспечения
Carnegie Mellon Университет
Питсбург Пенсильвания 15213-3890
США.
Персонал СВИДЕТЕЛЬСТВА/МАШИНОПИСНОЙ КОПИИ отвечает на экстренную связь 08:00-17:00 восточное стандартное время (5 ПО ГРИНВИЧУ) / ПО ВОСТОЧНОМУ ВРЕМЕНИ (4 ПО ГРИНВИЧУ) с понедельника до пятницы; они находятся на призыве к критическому положению в течение других часов, на американском отпуске, и по уикэндам.
Использование шифрования
Мы настоятельно убеждаем Вас зашифровать чувствительную информацию, посланную электронной почтой. Наша публика PGP ключ доступна от
<http://www.cert.org/CERT_PGP.key>
Если Вы предпочитаете использовать DES, пожалуйста назовите(вызовите) экстренную связь СВИДЕТЕЛЬСТВА за дополнительной информацией.
Получение информации безопасности
Публикации СВИДЕТЕЛЬСТВА и другая информация безопасности доступны от нашего вебсайта
<http://www.cert.org/>
* "СВИДЕТЕЛЬСТВО" и "Центр Координации СВИДЕТЕЛЬСТВА" зарегистрировано в американском Патенте и Офисе Торговой марки.

НИКАКАЯ ГАРАНТИЯ
Любой материал, снабженный(доставленный) Carnegie Mellon Университет и Институт Разработки Программного обеспечения снабжен(доставлен) на, "как-" основание. Carnegie Mellon Университет не делает никаких гарантий любого вида, или выраженный или подразумеваемый относительно любого вопроса, включая, но не ограниченными, гарантия пригодности(соответствия) для специфической цели или высокого спроса, исключительности или результатов, полученных от использования материала. Carnegie Mellon Университет не делает никакой гарантии любого вида относительно свободы от патента, торговой марки, или нарушения авторского права.


Настали суровые времена.
Связь: LEONeso@gmail.com
 
BattleДата: Четверг, 2006.02.16, 02:06:29 | Сообщение # 7
Та все норм.
Группа: Администраторы
Сообщений: 864
Репутация: 2
Статус: Offline
Рекомендации CERT по LoveSan:

ВТОРАЯ

СВИДЕТЕЛЬСТВО - Консультативный CA-2003-20 W32/Blaster червь
Первоначальная(Оригинальная) дата проблемы(выпуска): 11 августа 2003
Последний пересмотренный: 14 августа 2003
Источник: СВИДЕТЕЛЬСТВО/МАШИНОПИСНАЯ КОПИЯ
Полная история пересмотра - в конце этого файла.
Системы, которые затрагивают
Windows NT Microsoft 4.0
Windows 2000 Microsoft
Windows Microsoft XP
Сервер Windows Microsoft 2003

Краткий обзор
СВИДЕТЕЛЬСТВО/МАШИНОПИСНАЯ КОПИЯ получает сообщения широко распространенной деятельности, связанной с новой частью злонамеренного кодекса, известного как W32/Blaster. Этот червь, кажется, эксплуатирует известную уязвимость в Microsoft Отдаленный Запрос Процедуры (RPC) Интерфейс.

I. Описание
W32/Blaster червь эксплуатирует уязвимость в DCOM Microsoft RPC интерфейс как описано в VU*568148 <http://www.kb.cert.org/vuls/id/568148> и CA-2003-16 <http://www.cert.org/advisories/CA-2003-16.html>. После успешного выполнения, червь пытается восстанавливать копию файла msblast.exe от компрометирующего хозяина. Как только этот файл восстановлен, ставившая под угрозу(скомпрометированная) система тогда управляет этим и начинает просматривать для других уязвимых систем, чтобы идти на компромисс в той же самой манере. В ходе распространения, TCP сессия к порту 135 используется, чтобы выполнить нападение. Однако, доступ к TCP портам 139 и 445 может также обеспечить векторы нападения и нужно рассмотреться(счесть) при применении(обращении) стратегий уменьшения. Microsoft издал информацию об этой уязвимости в Бюллетене Безопасности Microsoft MS03-026 <http://microsoft.com/technet/security/bulletin/MS03-026.asp>.
Испытание лаборатории подтвердило, что червь включает способность начать(запустить) TCP SYN нападение опровержения-обслуживания наводнения противwindowsupdate.com <http://windowsupdate.com/>. Мы исследуем условия(состояния), при которых это нападение могло бы проявиться. Необычное или неожиданное движение к windowsupdate.com может указать инфекцию на вашей сети, так что Вы можете желать контролировать движение сети.
Участки(Сайты), которые не используют windowsupdate.com, чтобы управлять заплатами, могут желать блокировать движение за границу к windowsupdate.com. Практически, это может быть трудно достигнуть, с тех пор windowsupdate.com не может решить к тому же самому, обращаются каждый раз. Правильно движение блокирования к windowsupdate.com будет требовать детального понимания вашей архитектуры направления сети, потребностей управления системы, и называть окружающую среду решения. Вы не должны блокировать движение к windowsupdate.com без полного понимания ваших эксплуатационных потребностей.
Мы были в контакте с Microsoft относительно этой возможности этого нападения опровержения-обслуживания.

II. Воздействие
Отдаленный нападавший мог эксплуатировать эту уязвимость, чтобы выполнить произвольный кодекс с Местными привилегиями Системы или причинять условие(состояние) опровержения-обслуживания.
III. Решения
(ПРИМЕЧАНИЕ: Детальные инструкции для того, чтобы возвращать Windows XP системы от W32/Blaster червя могут быть найдены в W32/Blaster Восстановлении <http://www.cert.org/tech_tips/w32_blaster.html> Техническим Наконечником(Чаевыми))
Примените заплаты
Все пользователи поощрены применить заплаты, упомянутые в Бюллетене Безопасности MicrosoftMS03-026 <http://microsoft.com/technet/security/bulletin/MS03-026.asp>как можно скорее чтобы смягчить уязвимость, описанную вVU*568148 <http://www.kb.cert.org/vuls/id/568148>. Эти заплаты также доступны черезМодернизацию WindowsMicrosoft<http://windowsupdate.microsoft.com/>обслуживают.
Системы, управляющие Windows 2000 могут все еще быть уязвимы к по крайней мере нападению опровержения-обслуживания черезVU*326746 <http://www.kb.cert.org/vuls/id/326746>, если их DCOM RPC обслуживание(служба) доступен через сеть. Поэтому, участки(сайты) поощрены использовать подсказки(чаевые) фильтрования пачки ниже в дополнение к применению(обращению) заплат, снабженных вMS03-026 <http://microsoft.com/technet/security/bulletin/MS03-026.asp>.
Сообщалось, что некоторые затронутые машины(механизмы) не способны остаться связанными с сетью достаточно долго, чтобы разгрузить заплаты от Microsoft. Для хозяев в этой ситуации, свидетельство/МАШИНОПИСНАЯ КОПИЯ рекомендует следующее:
Физически разъедините систему от сети.
Проверьте систему для признаков(подписей) компромисса.
В большинстве случаев, инфекция будет обозначена присутствием ключа регистрации(регистратуры) "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur rentVersion\Run\window s авто модернизация" с ценностью msblast.exe. Другие возможные ценности включают teekids.exe и penis32.exe. Если этот ключ присутствует, удалите это использующий редактора регистрации(регистратуры).
Если Вы заражены(инфицированы), заканчиваете бегущую копию msblast.exe, teekids.exe или penis32.exe, используя Менеджера Задачи.
Поиск и удаляет файлы, названные msblast.exe, teekids.exe или penis32.exe.
Возьмите один из следующих шагов, чтобы защитить против компромисса до монтажа заплаты Microsoft:
Калечьте DCOM как описано вMS03-026 <http://microsoft.com/technet/security/bulletin/MS03-026.asp> и Статье(Изделии) Основы Знания Microsoft825750 <http: // support.microsoft.com/default.aspx? scid=kb; en-us; 825750>.
Позволите Брандмауэр Связи Интернета Microsoft (ICF <http://www.microsoft.com/windowsxp/home/using/howto/homenet/icf.asp> или другую программу фильтрования пачки уровня хозяина блокировать поступающие(наступающие) связи к порту 135/TCP. Информация о ICF доступна в Статье(Изделии) Основы Знания Microsoft283673 <http: // support.microsoft.com/default.aspx? scid=kb; en-us; 283673>.
Повторно соедините систему с сетью, и примените заплаты, на которые упоминают вMS03-026 <http://microsoft.com/technet/security/bulletin/MS03-026.asp>.
Trend Micro, Inc <http://www.trendmicro.com/>издал <http: // www.trendmicro.com/vinfo/virusencyclo/default5.asp? VName=WORM_MSBLAST.A> набор шагов, чтобы достигнуть этих целей.Symantec <http://www.symantec.com> такжеиздал <http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html> набор шагов, чтобы достигнуть этих целей.
Калечьте DCOM
В зависимости от требований участка(сайта), Вы можете желать калечить DCOM как описано вMS03-026 <http://microsoft.com/technet/security/bulletin/MS03-026.asp>. Выведение из строя DCOM поможет защищать против этой уязвимости, но может также причинить нежелательные побочные эффекты. Дополнительные детали относительно выведения из строя DCOM и возможных побочных эффектов доступны в Статье(Изделии) Основы Знания Microsoft825750 <http: // support.microsoft.com/default.aspx? scid=kb; en-us; 825750>.
Движение сети фильтра
Участки(Сайты) поощрены блокировать доступ сети к следующим уместным портам в границах сети. Это может минимизировать потенциал нападений опровержения-обслуживания, происходящих снаружи периметра. Определенные услуги, которые должны быть блокированы, включают
69/UDP
135/TCP
135/UDP
139/TCP
139/UDP
445/TCP
445/UDP
593/TCP
4444/TCP
Участки(Сайты) должны рассмотреть(счесть) блокирование и прибывающее и движение за границу к этим портам, в зависимости от требований сети, в уровне сети и хозяине.Брандмауэр Связи Интернета Microsoft<http://www.microsoft.com/windowsxp/home/using/howto/homenet/icf.asp> может использоваться, чтобы достигнуть этих целей.
Если доступ не может быть блокирован для всех внешних хозяев, свидетельство/МАШИНОПИСНАЯ КОПИЯ рекомендует доступ ограничения только тем хозяевам, которые требуют этого для нормального действия. Как правило, свидетельство/МАШИНОПИСНАЯ КОПИЯ рекомендует фильтрованию все типы движения сети, которые не требуются для нормального действия.
Поскольку текущие деяния дляVU*568148 <http://www.kb.cert.org/vuls/id/568148> создают заднюю дверь, которая является в некоторых случаях 4444/TCP, блокируя прибывающие TCP сессии к портам, на которых никакие законные услуги не обеспечены, может ограничить доступ злоумышленника компрометированными хозяевами.
Восстановление от компромисса системы
Если Вы полагаете, что система при вашем административном контроле(управлении) была скомпрометирована, пожалуйста следуйте за шагами, выделенными в
Шаги для того, чтобы Оправляться от UNIX или NT Компромисса Системы <http: // www.cert.org/tech_tips/win-UNIX-system_compromise.html>
Сообщение
СВИДЕ ТЕЛЬСТВО/МАШИНОПИСНАЯ КОПИЯ отслеживает деятельность, связанную с этим червем как CERT*30479. Уместным экспонатам или деятельности можно послать cert@cert.org с соответствующим СВИДЕТЕЛЬСТВОМ * на подчиненной линии.

Приложение A. Информация Продавца
Это приложение содержит информацию, обеспеченную продавцами. Когда продавцы сообщают о новой информации, эта секция обновлена, и изменения(замены) отмечены в истории пересмотра. Если продавец не упомянут ниже, мы не получили их комментарии.

Microsoft <http: // www.microsoft.com/>
Пожалуйста см. Бюллетень Безопасности MicrosoftMS03-026 <http://microsoft.com/technet/security/bulletin/MS03-026.asp>.

Приложение B. Ссылки(рекомендации)
СВИДЕТЕЛЬСТВО/МАШИНОПИСНАЯ КОПИЯ Консультативный CA-2003-19 - <http://www.cert.org/advisories/CA-2003-19.html>
Примечание Уязвимости СВИДЕТЕЛЬСТВА/МАШИНОПИСНОЙ КОПИИ VU*561284 -<http://www.kb.cert.org/vuls/id/561284>
Примечание Уязвимости СВИДЕТЕЛЬСТВА/МАШИНОПИСНОЙ КОПИИ VU*326746 -<http://www.kb.cert.org/vuls/id/326746>
Бюллетень Безопасности Microsoft MS03-026 -<http://microsoft.com/technet/security/bulletin/MS03-026.asp>
Статья(Изделие) Основы Знания Microsoft 823980 -<http: // support.microsoft.com? kbid=823980>
Благодарность
Наш благодаря Корпорации Microsoft для их обзора и входа(вклада) к этому консультативному.

Авторы:Чад Dougherty, Джеффри Хаврилла, Shawn Hernan, и Мартай Линднер <mailto:cert@cert.org? subject=CA-2003-20%20Feedback>

Этот документ доступен от:<http://www.cert.org/advisories/CA-2003-20.html>

Информация Контакта СВИДЕТЕЛЬСТВА/МАШИНОПИСНОЙ КОПИИ
Пошлите по электронной почте: cert@cert.org <mailto:cert@cert.org>
Звоните: +1 412-268-7090 (24-часовая экстренная связь)
Факс: +1 412-268-6989
Почтовый адрес:
Центр Координации СВИДЕТЕЛЬСТВА
Институт Разработки Программного обеспечения
Carnegie Mellon Университет
Питсбург Пенсильвания 15213-3890
США.
Персонал СВИДЕТЕЛЬСТВА/МАШИНОПИСНОЙ КОПИИ отвечает на экстренную связь 08:00-17:00 восточное стандартное время (5 ПО ГРИНВИЧУ) / ПО ВОСТОЧНОМУ ВРЕМЕНИ (4 ПО ГРИНВИЧУ) с понедельника до пятницы; они находятся на призыве к критическому положению в течение других часов, на американском отпуске, и по уикэндам.
Использование шифрования
Мы настоятельно убеждаем Вас зашифровать чувствительную информацию, посланную электронной почтой. Наша публика PGP ключ доступна от
<http://www.cert.org/CERT_PGP.key>
Если Вы предпочитаете использовать DES, пожалуйста назовите(вызовите) экстренную связь СВИДЕТЕЛЬСТВА за дополнительной информацией.
Получение информации безопасности
Публикации СВИДЕТЕЛЬСТВА и другая информация безопасности доступны от нашего вебсайта
<http://www.cert.org/>
* "СВИДЕТЕЛЬСТВО" и "Центр Координации СВИДЕТЕЛЬСТВА" зарегистрировано в американском Патенте и Офисе Торговой марки.

<END>


Настали суровые времена.
Связь: LEONeso@gmail.com


Сообщение отредактировал Battle - Четверг, 2006.02.16, 02:06:53
 
BattleДата: Четверг, 2006.02.16, 02:46:00 | Сообщение # 8
Та все норм.
Группа: Администраторы
Сообщений: 864
Репутация: 2
Статус: Offline
Как дать отпор хакерам?


Введение




Первое, что приходит в голову многим системным администраторам, когда они думают о защите своих сетей от атак злоумышленников из Интернета, это слово "брандмауэр". Брандмауэры (сетевые экраны) - неотъемлемая часть инфраструктуры защиты сети, однако просто установить брандмауэр и надеяться на лучшее - опасно и глупо. Если не выбрать надлежащую конфигурацию серверов и не придерживаться сильной стратегии защиты, то шансы на успех у атакующих вашу сеть значительно повышаются. Как уже неоднократно писалось, большинство злоумышленников нападает с внутренней стороны брандмауэра. Это недовольные сотрудники фирмы или хакеры, нашедшие лазейку в системе. По этой причине к защите каждой сети нужно подходить очень внимательно и не ограничиваться предотвращением доступа из Интернета.

Еще одно опасное заблуждение заключается в том, что серверы будто бы уже поставляются с необходимыми средствами обеспечения безопасности. Между тем, в защите каждой сетевой операционной системы имеются многочисленные пробелы, и чтобы считать свой сайт действительно защищенным, их необходимо ликвидировать. Отсутствие строгой стратегии обеспечения безопасности интрасети и серверов Интернета может усугубить ситуацию. Чтобы получить бессонницу, администратору сети достаточно попытаться установить последние поправки к системе защиты сетевой ОС.

Сделать жизнь сотрудников, отвечающих за работу сети, более спокойной помогут инструментальные средства сканирования сетевой и системной защиты в сочетании с хорошо спланированной стратегией безопасности и ПО обнаружения нарушителей. Эти продукты сканируют сетевые серверы по заданному расписанию и автоматически выводят отчеты, позволяя быстро обнаружить ошибки в конфигурации, неправильно инсталлированное (с точки зрения защиты) серверное ПО и пробелы в защите (преднамеренные или нет), и принять необходимые меры.

В лаборатории ZD Internet Lab были испытаны три инструментальных средства защиты на базе Windows NT. Мы оценивали простоту их инсталляции, возможности настройки сканирующих подпрограмм и средства вывода отчетов. Мы сопоставляли эти продукты, сканируя одни и те же тестовые серверы с одинаковыми параметрами конфигурации.

К сожалению, компания Network Associates не смогла вовремя представить последнюю версию своего сканера CyberCop Scanner (прежнее название Ballista), Axent Technologies отказалась принять участие в обзоре, сославшись на предстоящее обновление своего продукта, а фирма Netect не подготовила NT-версию продукта Netective (ко времени написания обзора она проходила бета-тестирования, но версия для ОС Solaris уже существует).

Испытательный стенд

Мы инсталлировали каждый продукт на сервере Compaq ProLiant 6000 с Windows NT Server 4.0 (с Service Pack 3 и Option Pack 4). Он был оснащен двумя процессорами Pentium Pro 200 МГц и ОЗУ емкостью 256 Мбайт. Целевыми серверами служили машины Dell Dimension XPS Pentium II 266 МГц с ОЗУ емкостью 32 Мбайт. Мы тестировали их под Windows NT Server 4.0 с Service Pack 3 и Option Pack 4, а также под ОС RedHat Linux 5.1 с Apache 1.3. При этом использовались стандартные конфигурации каждого сервера, типичные для многих реальных инсталляций.

Спецификации продуктов

Продукт Internet Scanner 5.2 Kane Security Analyst NetGuard
Цена 795 $ за 10 машин, 4995 $ за всю сеть класса C 695 $ за сервер 199 $ за 16 хост-систем, 2499 $ за неограниченную лицензию
Серверные платформы Windows NT 4.0, AIX, HP-UX, Solaris, Linux Windows NT 3.51 или более поздняя версия, Novell NetWare 3.x/4.x Любая (требует поддержки Java)
Сканируемые платформы Windows NT, 95; Unix Windows NT 3.51 или более поздняя версия, Novell NetWare 3.x/4.x Windows 95, NT; Unix; Mac
Поддерживаемые протоколы TCP/IP Неприменимо TCP/IP
Типы проверки Windows NT, веб-сервер, брандмауэры, отказ в обслуживании, NSF, атаки типа "грубой силы", анонимный FTP, RPPC, sendmail, Xwindows, NetBIOS Полные проверки конфигурации сетевой ОС Пароли, наиболее распространенные "дыры" в защите и типы атак, неверные конфигурации, слабые ограничения доступа, устаревшее программное обеспечение
Форматы отчетов Crystal Reports, HTML Crystal Reports, экспортируемые форматы HTML, ASCII
Планируемое сканирование Да Да Да
Уведомление по электронной почте Да Да Да
Решения, включенные в отчеты Да Да Да
Сканирование брандмауэров Да Нет Нет
Автоматическое распознавание узла Да Да Да
Компания Internet Security Systems Security Dynamics Technologies Network Guardians
URL www.iss.net www.securitydynamics.com www.net-guards.com


* Победитель Internet Business Net Best

Итоговый анализ
ISS Internet Scanner 5.2

Продукт ISS Internet Scanner 5.2 мы выбрали по многим причинам. Он оказался наиболее полным в плане поиска проблем в системе защиты и предлагал наиболее исчерпывающие решения каждой проблемы. Это ПО выявило все недостатки в защите, обнаруженные остальными двумя продуктами, и дополнило их десятками других найденных пробелов. Функциональные возможности вывода отчетов в Internet Scanner 5.2 оказались просто феноменальными, а сами отчеты детальны и легко читаемы. Они предназначены не только для технических специалистов. В сводных отчетах для руководителя вопросы защиты сети поясняются и становятся намного понятнее. Сканирование сети в Internet Scanner 5.2 производится быстро и полно, а результаты мы смогли использовать для генерации множества отчетов и, при необходимости, обращаться к оригинальным данным.

Слабые места систем

Существуют следующие, наиболее распространенные, слабые места, характерные для многих сетевых операционных систем.


Слабая защита по паролю.
Доступ через анонимный FTP.
Неиндексированные каталоги WWW.
Разрешенная функция Finger.
Разрешенные банеры Telnet/sendmail.
Разрешенная учетная запись Guest.
Неправильная конфигурация RPC.
Ошибки в IIS .bat и .cmd.
Уязвимость TFTP.
Неверная конфигурация NFS.
Internet Scanner 5.2


ПО Internet Scanner 5.2 компании Internet Security Systems (Атланта) - самый давний из протестированных нами продуктов оценки защиты, и большой опыт положительно сказывается на его работе. На нас произвели впечатление простота установки данной программы, превосходные средства вывода отчетов и широкая поддержка платформ.

Internet Scanner - компонент защиты семейства продуктов SAFEsuite компании Internet Security Systems. Кроме этого, SAFEsuite включает в себя компоненты выявления вторжения RealSecure и инструмент для детального анализа конфигураций серверов Unix System Security Scanner (S3). Разрабатывается версия S3 для Windows NT. Internet Scanner функционирует в сетях Windows NT 4.0, AIX, HP-UX, Solaris и Linux. Продукт может выявлять "дыры" в защите, недостатки в конфигурации Windows NT Server и Workstation, машин Windows 95 и серверов Unix. Все проверки системы и сканирование выполняются через TCP/IP в локальной сети.

Установить ПО Internet Scanner оказалось нетрудно. Мы загрузили самую последнюю его версию с веб-узла ISS и легко выполнили процесс инсталляции. После установки ПО на нашем сервере Windows NT нам потребовалось только скопировать файл ключа ISS в каталог Internet Scanner, после чего можно было начинать сканирование. Сервер ключа ISS передал нам лицензионный ключ по электронной почте. Этот ключ определяет, какие именно компоненты Internet Scanner будут доступны пользователю. Таким образом, добавление функциональных возможностей (таких, как сканирование брандмауэра) представляет собой простую и быструю онлайновую процедуру.

Пользовательский интерфейс Internet Scanner понравился нам больше всех. "Мастер" создания сеанса значительно упрощает настройку и запуск процедуры сканирования. Основное окно с вкладками спроектировано настолько ясно, что мы смогли сразу легко загрузить несколько сеансов, ускорив тем самым процесс сканирования. Выполнение поверхностного теста сканирования нашего сервера Windows NT Server заняло у Internet Scanner всего 21 секунду, после чего мы получили страницу с результатами - детальным списком обнаруженных проблем и предлагаемых решений. В этом тесте Internet Scanner выявил на нашем сервере 113 ошибок конфигурации и пробелов защиты. Из них было выделено пять проблем высокой степени риска, 10 - средней и 98 - низкой.

Не устраняя ни одной из обнаруженных проблем, мы продолжили процесс, выполнив сканирование среднего уровня того же сервера Windows NT Server. На этот раз сканирование заняло немногим более трех минут, и было найдено 114 уязвимых мест. Пять проблем продукт отнес к высокому риску, 11 - к среднему и 98 - к низкому.

Наконец, глубокое сканирование нашего сервера Windows NT заняло более 5 минут и показало наличие в нашей конфигурации 115 ошибок. На этот раз число проблем высокого риска увеличилось до шести, проблем со средним риском по-прежнему насчитывалось 11, а проблем низкого риска - 98.

Затем мы занялись своим сервером RedHat Linux 5.1, также начав с поверхностного сканирования. Как и в случае аналогичного теста Windows NT, этот процесс занял 20 секунд. Как ни странно, он обнаружил только одну проблему в защите: у нас была включена функция Finger. Эта проблема была отнесена к категории низкого риска.

Сканирование среднего уровня сервера RedHat 5.1 потребовало около четырех минут и обнаружило девять пробелов в защите: одну средней степени риска (разрешенный доступ через анонимный FTP) и восемь проблем низкой степени риска. Во время теста с углубленным сканированием продукт нашел 15 проблем, на что ушло примерно 7 минут. Две проблемы были отнесены к средней степени риска, а остальные 13 - к низкой.

Средства вывода отчетов в Internet Scanner произвели на нас очень сильное впечатление. Генерируемые в формате Crystal Reports или HTML, разнообразные готовые формы отчетов Internet Scanner должны удовлетворить требования любого сетевого администратора. Если же потребуется создать свои собственные формы, то в Internet Scanner для них легко построить шаблоны. В технических отчетах об уязвимости системы защиты перечислены проблемы, указаны машины, на которые они влияют, предлагаются решения и даже даются ссылки на места в Интернете, где можно найти соответствующие поправки и корректировки. В отчетах для руководителей суммируются характеристики защиты всей сети.

Internet Scanner 5.2 соединяет в себе превосходный пользовательский интерфейс, сильные средства создания сеансов и большое число стандартных отчетов. Двухуровневая схема лицензирования (795 $ за лицензию на сканирование 10 серверов и 4995 $ за лицензию на сканирование всей подсети класса C) делает пакет Internet Security Systems доступным как для малых, так и для крупных компаний.

<продолжение следует>


Настали суровые времена.
Связь: LEONeso@gmail.com
 
BattleДата: Четверг, 2006.02.16, 02:46:39 | Сообщение # 9
Та все норм.
Группа: Администраторы
Сообщений: 864
Репутация: 2
Статус: Offline
<продолжение>


Kane Security Analyst 4.04


Продукт Kane Security Analyst компании Security Dynamics Technologies входит в семейство инструментов защиты SecurSight. Kane Security Analyst может оценивать защиту автономного сервера Windows NT или, если приобрести расширенную лицензию, всего домена Windows NT. В отличие от двух других протестированных нами продуктов, Kane Security Analyst предназначен только для сканирования серверов Windows NT и Novell NetWare. Сканирования серверов Unix или машин Windows 95/98 он не выполняет.

Мы загрузили пакет Kane Security Analyst на своем сервере Windows NT с инсталляционного диска CD-ROM, после чего можно было приступать к работе. При первом запуске программы она выполнила поиск доменов и серверов нашей сети Windows NT. Затем на экране появилось главное окно. Пользовательский интерфейс Kane Security Analyst спроектирован удачно. Каждая из четырех кнопок в нижней части экрана выполняет один из четырех шагов по оценке защиты системы: устанавливает стандарт защиты, проверяет ее, анализирует степень риска и выводит отчет. Кроме того, предусмотрены кнопки быстрого вызова большинства функций Kane Security Analyst, таких, как оценка на соответствие стандарту защиты C2 (C2 Security Evaluation), вывод на экран карты отчета и т. д.

ПО Kane Security Analyst не предусматривает поверхностного, среднего и углубленного сканирования, как Internet Scanner и NetGuard. Программа поставляется с одним заданным по умолчанию шаблоном сканирования, именуемым Best Default Practices. Этот шаблон сравнивает защиту вашего сервера с практикуемыми в отрасли методами защиты. Естественно, можно создать и собственный шаблон, отвечающий специальным требованиям.

Скорость сканирования произвела на нас благоприятное впечатление. Анализ всей системы, включая тест раскрытия пароля, потребовал менее 30 секунд, после чего нам была представлена "карта отчета" со списком выполненных тестов и оценкой для нашего сервера. За ограничение учетных записей наш сервер Windows NT получил 85%, за длину пароля - 56%, за контроль доступа - 86%, за мониторинг системы - 42%, а за целостность и конфиденциальность данных - 50%. В целом наша система получила среднюю оценку, равную 63%, и попала в "критический" диапазон.

После завершения сканирования можно получить набор детальных отчетов (в формате Crystal Reports). Выбрав отчет (или все отчеты), его нетрудно сгенерировать, распечатать или сохранить в файле (в разных форматах), однако мы были разочарованы тем, что Kane Security Analyst не предлагает средств вывода отчетов непосредственно в формате HTML.

Kane Security Analyst оказался самым дорогим из рассматриваемых нами продуктов: 695 $ за сервер. Поскольку он может сканировать серверы только той платформы, на которой выполняется, это достаточно высокая цена. Конечно, вряд ли это остановит компанию, которую волнует уязвимость защиты, однако не следует забывать о том, что данный продукт не сканирует хост-системы Unix.

В целом Kane Security Analyst можно считать превосходным инструментальным средством для сканирования серверов Windows, но в неоднородной сетевой среде он не может конкурировать с Internet Scanner 5.2.

Как отгоняют хакеров в Microsoft


Директор корпорации Microsoft по защите информации Говард Шмидт (Howard Schmidt) вполне удовлетворен функциональными характеристиками ПО Internet Scanner компании Internet Security Systems (ISS). После четырехмесячного периода оценки Microsoft выбрала Internet Scanner по трем причинам: из-за надежности продукта, его постоянного обновления и сильного персонала поддержки. "Internet Scanner смог выявить больше уязвимых мест, чем некоторые другие оцениваемые нами продукты, - отметил Шмидт. - У этого продукта сильная поддержка, и он постоянно обновляется в соответствии с вновь обнаруживаемыми "дырами" в защите, а сотрудники компании всегда готовы ответить на вопросы и выявляют потенциальные проблемы раньше, чем наши собственные специалисты".

Технический персонал ISS продолжает работать в тесном контакте с сотрудниками Microsoft. Они общими усилиями воздвигают заслон для хакеров. На Шмидта произвели сильное впечатление и средства вывода отчетов, предлагаемые Internet Scanner: "Конечно, есть хорошие инструменты, способные идентифицировать уязвимые места в системе, но возможность собрать информацию воедино и представить в осмысленной форме - одно из превосходных качеств именно этого продукта".

Internet Scanner был установлен на всех системах Microsoft в конца мая, хотя его тестирование завершилось еще в 1997 году. Теперь Microsoft нуждается в полном комплекте защиты и рассматривает Internet Scanner как один из основных его элементов. "Для нас большую ценность представляют продукты, способные взаимодействовать с ISS. Например, крайне желательна система обнаружения нарушителей, которая могла бы выводить отчеты для этого продукта, с тем, чтобы можно было получать осмысленные выводы".

Internet Scanner предлагает превосходные отчеты по результатам сканирования. Они легко читаются и сразу дают четкую картину состояния защиты сервера.

У Kane Security Analyst необычный интерфейс администрирования и структура отчетов, но он выявил не все пробелы в защите нашего сервера Windows NT.

<END>


Настали суровые времена.
Связь: LEONeso@gmail.com
 
BattleДата: Четверг, 2006.02.16, 02:49:04 | Сообщение # 10
Та все норм.
Группа: Администраторы
Сообщений: 864
Репутация: 2
Статус: Offline
БЕЗОПАСHОСТЬ В ICQ

ICQ - иначе Интеpнет-пейджеp - стал для многих незаменимым
сpедством опеpативного общения с дpyзьями, коллегами и пpосто
интеpесными людьми. Hо технология ICQ такова (если не пpинять
соответствyющих меp) что вас легко могyт идентифициpовать (yзнать ваш
IP адpес). Сyществyет несколько pекомендаций по защите от этого:
- Пpи pегистpации в системе ICQ ни в коме слyчае не yказывайте
вашего настоящего E-Mail, адpеса, имени и т.д. (все данные должны быть
вымышленными);
- Hе забyдьте yстановить pежим обязательной автоpизации (вашего
согласия) пpи попытках дpyгих пользователей сети добавить ваш UIN
(пеpсональный номеp в сети ICQ) в свою записнyю книжкy;
- Отключите в настpойках ICQ отобpажение вашего IP адpеса и
дpyгих идентификатоpов. В пpотивном слyчае - в сети довольно много
шyтников котоpые могyт напpимеp напyстить на вас Nuke Attack;
- По возможности (если y вас полyчится) настpойте ICQ для pоботы
чеpез анонимный пpокси-сеpвеp.

АHОHИМHОСТЬ HА IRC

Hy кто не знает пpо IRC, это гениальное изобpетение, позволяющее
с помощью пpогpаммы-клиента mIRC (а еще лyчше pIRCH), yстановленной на
вашем компьютеpе, общаться в pеальном вpемени и обмениваться файлами с
любым человеком в Интеpнете! IRC настолько попyляpна, что многие люди
пpоводят в IRC больше вpемени, чем бpодя по WWW. И коль скоpо для
многих людей это часть жизни, следyет подyмать и о privacy в этой
виpтyальной жизни.

Вы - дичь

Ваша privacy может подвеpгается опасности в IRC по следyющим
пpичинам:
1. Возможность пpослyшивания того, что вы говоpите дpyгомy
человекy пpи общении один на один. Здесь все довольно пpосто: если вы
считаете, что обсyждаемый вопpос конфиденциален, не пользyйтесь
общением на канале, даже если кpоме вас и вашего собеседника на нем
никого нет. Hе пользyйтесь командой /msg или окном query, что одно и
то же. Вся инфоpмация пpоходит чеpез IRC сеpвеp и технически может
быть записана. Вместо этого воспользyйтесь DCC (Direct Client to
Client). Пpи этом инфоpмация бyдет пеpедаваться вашемy собеседникy
напpямyю, минyя сеpвеp, от котоpого можно даже отключиться после
yстановления связи по DCC. В пpинципе, и этy инфоpмацию можно
pасшифpовать на любом из yзлов, чеpез котоpый yстановлена связь междy
вами и вашим собеседником, но это сложно. Если вы хотите быть yвеpены
в полной пpиватности вашей беседы, воспользyйтесь методами, описанными
в главе Защищенный pазговоp.
2. Сбоp инфоpмации о том, на каких каналах вы находитесь, с
последyющей идентификацией вашей личности. Допyстим, политический
деятель, скpывающий свою гомосексyальнyю оpиентацию, часто бывает в
IRC. Бyдyчи yвеpенным в свой анонимности, он частенько заходит на
канал #russiangay или #blackleather. Общается с людьми. Встyпает в
пеpепискy, не называя, понятное дело, своего pеального имени. А потом
находит все свои письма опyбликованными в какой-нибyдь вонючей
бyльваpной газетенке типа Московского Комсомольца. Hе очень пpиятно.
Hо ситyация вполне возможная. О том, как можно собpать инфоpмацию о
человеке в IRC, pассказано в pазделе Вы - охотник. Здесь пpиведем
pекомендации, позволяющие снизить pиск идентификации вашей личности.
Итак, пеpвое. Если вы хотите быть анонимны, не yказывайте свой
настоящий адpес e-mail в соответствyющем поле в Setup. Во-втоpых,
станьте "невидимы". Это свойство позволяет вам оставаться
необнаpyженным пpи попытке любого пользователя, не знающего точное
написание вашего nick, найти вас в IRC по имени вашего домена или
userid (часть вашего e-mail, стоящая пеpед знаком @), использyя
командy /who или /names. (см. ниже). Это делается командой /mode $me
+i, котоpая может быть для yдобства включена в список команд,
автоматически выполняемых пpи подключении (mIRC Options=>Perform). В
последних веpсиях mIRC 5.** надо пpосто поставить галочкy напpотив
Invisible Mode в диалоговом окне Setup. В-тpетьих, не давайте свой
адpес людям в IRC, в добpопоpядочности котоpых вы не yвеpены. Или, по
кpайней меpе, давайте свой альтеpнативный адpес. Вот, пожалyй, и все,
что можно сделать. В-четвеpтых отключите всевозможные ident в ваших
IRC клиентах. А тепеpь pассмотpим, что и как дpyгие люди в IRC могyт о
вас yзнать (или вы о них).

Вы - охотник

Оговоpюсь, что мы бyдем исходить из пpедположения, что имя домена
или IP адpес пользователя в IRC подделать очень сложно, и подавляющее
большинство людей этим не занимаются, хотя такие методы и есть.
Hа yм пpиходят два метода: IP spoofing и использование
специального пpокси сеpвеpа, способного поддеpживать IRC пpотокол.
Техника, называемая IP spoofing (обман IP), весьма сложна в
пpименении. Хакеpские сайты пpедлагают пользователям Windows 95 с
веpсией Winsock 2.0 и выше несколько пpогpамм для подобных пpоделок.
1. Поиск пользователей по доменy, имени, и userid. Довольно
мощным сpедством поиска по какой-либо известной части инфоpмации о
пользователе (или гpyппе пользователей) является команда /who, о
котоpой почемy-то нет ни слова в mIRC'овском Help файле. Стpанно,
пpавда. Делая запpос о пользователе командой /whois, мы обычно
полyчаем пpимеpно такой текст:

ShowTime ~mouse@ml1_12.linknet.net * May flower
ShowTime on #ircbar #newbies
ShowTime using Oslo-R.NO.EU.Undernet.org [194.143.8.106] Scandinavia
Online AS
End of /WHOIS list.

Команда /who позволяет задать маскy для поиска пользователей по
любой части их доменного имени, userid или имени (то, что в поле Real
Name). Допyстим, мы ищем людей из домена global.de. Синтаксис таков:

/who *global.de*

Или ищем всех пользователей из Сингапypа:

/who *.sg*

Или мы yже общались с господином ShowTime, и хотим найти его
опять:

/who *mouse*, или
/who *flower*

Так же могyт найти и вас, если вы не воспользyйтесь командой
/mode $me +i, как было описано выше.
2. Опpеделение адpеса электpонной почты. Задача довольно сложная,
но иногда выполнимая. Hачнем с "лобовой" атаки. Команда /ctcp ShowTime
userinfo (или, пpоще, чеpез меню) покажет нам e-mail address,
yказанный самим пользователем. Посколькy мало кто сообщает свой
настоящий адpес, надежды на пpавдивый ответ мало. Если домен
полyченного адpеса совпадает с тем, что следyет за знаком @ в ответе,
полyченном на запpос /whois, то веpоятность того, что адpес yказан
пpавдивый, повышается.
Следyющая возможность - использовать инфоpмацию, содеpжащyюся в
ответе на запpос /whois. Имя домена подделать кpайне сложно, поэтомy
мы навеpняка знаем, что пользователь ShowTime из домена linknet.net.
Это пеpвый шаг. Часто вместо бyквенной стpоки после знака @ следyет
цифpовой IP адpес, котоpый по той или иной пpичине не опpеделился пpи
подключении пользователя к сеpвеpy. Его можно попытаться опpеделить
командой /DNS ShowTime. Если pезyльтат полyчен, то пеpеходим к
следyющемy абзацy. Если нет, то попpобyем еще один способ.
Воспользовавшись пpогpаммой WS Ping32
(http://www.glasnet.ru/glasweb/rus/wsping32.zip), или CyberKit
(http://www.chip.de/Software/cyber.zip), сделаем TraceRoute с
yказанием цифpового адpеса. Пpогpамма пpоследит пyть от вашего IP
адpеса до искомого IP, пpинадлежащего ShowTime. Последний из
опpеделившихся по имени адpесов yкажет, скоpее всего, на имя домена
пользователя.
Едем дальше. У нас есть либо полное имя, соответствyющее IP
адpесy пользователя под кличкой ShowTime (ml1_12.linknet.net), либо, в
хyдшем слyчае, только имя домена (linknet.net). В пеpвом слyчае мы
можем попытаться, воспользовавшись командой finger (либо в одной из
двyх вышеyпомянyтых пpогpамм, либо пpямо в mIRC, где есть кнопка
Finger пpямо на Tool Bar'е), опpеделить всех текyщих пользователей из
домена linknet.net. Для этого мы делаем finger адpеса @linknet.net
(userid не yказываем). Пpи yдачном стечении обстоятельств мы полyчим
что-нибyдь в этом pоде:

Trying linknet.net
Attempting to finger @linknet.net

[linknet.net]
Login Name TTY When Where
root 0000-Admin console Fri 16:27
henroam John Brown pts/1 Tue 10:57 pckh68.linknet.net
pailead Jack White pts/2 Tue 11:03 ml4_17.linknet.net
oneguy Michael Lee pts/3 Tue 11:08 ml1_12.linknet.net
sirlead6 Joan Jackson pts/4 Tue 11:05 ml4_16.linknet.net

End of finger session

Вот он наш ml1_12, пpинадлежит oneguy@linknet.net. Отметим, что
иногда инфоpмация в ответ на finger-запpос может быть выдана только
пользователю из того же домена, к котоpомy пpинадлежит адpес, котоpый
вы хотите идентифициpовать. Решение пpостое: найдите пользователя из
искомого домена (/who *linknet.net*), и попpосите его сделать finger
запpос.
И в пеpвом, и во втоpом слyчае есть еще одна возможность. Если
"охотникy" известно pеальное имя или фамилия искомого пользователя,
можно послать figer-запpос в виде имя@домен или фамилия@домен.
Hапpимеp, finger на John@some.net может нам дать список всех
пользователей по имени John с их login'ами.
Вот, пожалyй, и все известные автоpy сpедства, котоpые есть y
"охотника". А выяснив ваш e-mail адpес, "охотник" может выяснить и
ваше pеальное имя. Как? Но это уже совсем другая история...

<END>


Настали суровые времена.
Связь: LEONeso@gmail.com
 
BattleДата: Четверг, 2006.02.16, 02:54:04 | Сообщение # 11
Та все норм.
Группа: Администраторы
Сообщений: 864
Репутация: 2
Статус: Offline
Вирус - основные понятия.


Intr-a-a-a…

В далеком 1988 году в компьютерном мире появилось такое понятие, как 'вирус'. Сегодня этот термин совсем не утратил своей значимости. Это можно с легкостью определить по количеству антивирусных кампаний, разбросанных по всему миру и имеющих гигантские доходы. Сегодня мы поговорим только об основах - что такое вирус, какие бывают разновидности и как можно подцепить эту "заразу".

Терминология
Ох, какие определения компьютерного вируса я только не слышал. Некоторые из них были совсем бредовые, другие были неполные, а третьи были на других языках ;). Я все же возьму на себя смелость и попробую дать свое, независимое определение. Итак, компьютерный вирус в моем понимание - это самовыполняющийся код, при запуске которого, вирус пытается скопировать свое 'тело' в другой самовыполняющийся код (программу). Главная цель разработчика вируса - успеть заразить как можно больше компьютеров, до того, как его творение смогут находить и уничтожать антивирусные программы.
Каждый автор вируса преследует какую-нибудь конечную цель. Одни хотят почистить твой винт, путем удаления всей информации без возможности дальнейшего восстан овления, другие - просто делают так, чтобы ваша версия Windows показывала только 'синий экран смерти', третьи - пишут вирусы, которые просто копируют себя, не нанося никакого ущерба системе. Не все вирусы опасны!

Классификация вирусов
Со времен Роберта Морриса, появилось несколько десятков тысяч вирусов (Интересно, предполагал ли сам Моррис, что у него будет столько последователей). Безусловно, чтобы как-то облегчить восприятие информации, вирусы решили поделить на несколько больших категорий. Всего их шесть и каждую из них мы сейчас рассмотрим. Бывает и такое, что вирус нельзя поместить ни в один из следующих разделов, но такое очень редко встречается.

Вирусы загрузочного сектора: перемещают себя в загрузочный сектор диска - это такая область диска, которая загружается сразу же после включения компьютера. Последствия: Скорее всего вы просто не сможете загрузить свой компьютер.

Файловые вирусы: заражают программы. После того, как эти приложения будут запущены на другом компьютере, вирус заразит и его. Последствия: все зависит от автора вируса.

Макро вирусы: пишутся, используя упрощенный макро язык программирования. Эти вирусы заражают приложения Microsoft Office, такие как Word и Excell и насчитывают около 75 процентов всех вирусов, найденных в интернете. Документ, инфицированный этим типом вирусов, обычно заменяет собой команду, которая часто используется (например, 'Save'). Вместе с этой программой запускается и вирус - все это происходит незаметно.

Мульти (Multipartite) вирусы: заражают как программы, так и загрузочный (boot) сектор. Эти вирусы вдвойне опасны, т. к. они заражают компьютер десятки раз, до того, как будут найдены антивирусами.

Полиморфные вирусы: модифицируют свой код каждый раз, когда попадают на новый компьютер. Теоретически, антивирусам очень сложно обнаружить эти вирусы, хотя, как показывает практика, вирусы не достаточно хорошо написаны.

Стэлс (Stealth) вирусы: скрывают свое присутствие, показывая, что зараженные файлы являются не зараженными. Антивирусы хорошо распознают эти вирусы.


Как я могу заразиться вирусом?


Загружаясь с зараженной дискеты
Каждый раз, когда зараженная дискета используется для загрузки компьютера, вирус проникает в систему. Это может произойти, даже если дискета не содержит файлов, которые необходимы для загрузки компьютера. На персональных компьютерах, заражение происходит, когда кто-либо загрузит или перезагрузит компьютер с дискетой, вставленной в дисковод. Нужно выработать в себе привычку - всегда проверять и вытаскивать дискету перед загрузкой компьютера.

Запуская зараженную программу
Как только программа, зараженная вирусом, была вами запущена, то ваш компьютер тоже стал инфицированным. Поэтому вы должны регулярно сканировать программы, скаченные из интернета или полученные через BBS на вирусы. Были примеры, когда даже коммерческие программы были заражены вирусами!
Лучший способ уберечь себя от вирусов - не открывать файлы, приложенные к письмам, которые вы не ждали или скаченные с подозрительных интернет-ресурсов. Если вы все-таки получили письмо с аттачем внутри, то, НЕ ОТКРЫВАЯ ЕГО, напишите автору этого письма. Расспросите, что находится в архиве и действительно ли он хотел посылать это письмо.
Для надежной защиты вы должны приобрести хороший антивирус и стараться ежедневно обновлять антивирусные базы.
Кроме того, многие персональные файерволы сейчас поставляются с антивирусным пакетом.
Многие исследования показали, что от 30 процентов всех фирм малого бизнеса подвержены вирусным атакам. В большинстве случаев антивирусы либо неправильно установлены, либо антивирусные базы не обновляются.

Как работают антивирусы?Поиск вирусов идет двумя путями. Если это вирус уже известный (тот, который когда-то уже был найден и для него написано противоядие), то программа ищет 'подпись' вируса - уникальная последовательность байт, которая определяет вирус, как отпечатки пальцев у людей. Далее антивирус просто сотрет вредоносную программу. Хорошие антивирусы могут по одной 'подписи' определять разнообразные варианты одного и того же вируса.

В случае нахождения нового вируса, для которого нет противоядия, антивирус запустит дополнительную подпрограмму (ее может и не быть - все зависит от антивирусной компании), которая расскажет, к каким последствиям может привести запуск данной программы (например, модификация системного реестра). Если вы думаете, что программа может оказаться вирусом, то ее следует отослать разработчикам антивируса. Они в свою очередь напишут противоядие и поместят в каталог с известными вирусами.

А-у-у-тро
В наше время, вирусов не боятся только идиоты и те, у которых нет компьютера. В связи с тем, что вирус может написать абсолютно любой человек, хорошо знакомый с языком Assembler, нам следует больше обращать внимание на такие мелочи, как забытая дискета в дисководе. Кто может гарантировать, что ваш сосед не написал второй 'Чернобыль'? Обновите антивирусные базы!


Настали суровые времена.
Связь: LEONeso@gmail.com
 
НАШ ФОРУМ » Информационные и программные ресурсы » Вирусы и безопасность » Важно. (Полезнае статьи по безопасности.)
  • Страница 1 из 1
  • 1
Поиск:
Используются технологии uCoz
Rambler's Top100