Искусство цифровой самозащиты - Артимович Дмитрий

• Sandbox (Песочница) – ограничение привилегий выполнения

Технология песочницы работает по принципу ограничения активности потенциально вредоносных приложений таким образом, чтобы они не могли нанести вреда системе пользователя. Ограничение активности достигается за счет выполнения неизвестных приложений в ограниченной среде – собственно песочнице, откуда приложение не имеет прав доступа к критическим системным файлам, веткам реестра и другой важной информации. Технология ограничения привилегий выполнения эффективно противостоит современным угрозам, но следует понимать, что пользователь должен обладать знаниями, необходимыми для правильной оценки неизвестного приложения.

• Виртуализация рабочего окружения

Технология виртуализации рабочего окружения работает с помощью системного драйвера, который перехватывает все запросы на запись на жесткий диск и вместо выполнения записи на реальный жесткий диск выполняет запись в специальную дисковую область – буфер. Таким образом, даже в том случае, если пользователь запустит вредоносное программное обеспечение, оно проживет не дoльше чем до очистки буфера, которая по умолчанию выполняется при выключении компьютера. Однако следует понимать, что технология виртуализации рабочего окружения не сможет защитить от вредоносных программ, основной целью которых является кража конфиденциальной информации, так как доступ на чтение файлов на жестком диске не запрещен.

Применение проактивных технологий в настоящее время

Сегодня проактивные технологии являются важным и неотъемлемым компонентом антивирусного программного обеспечения. Более того, как правило, в антивирусных продуктах используется сочетание сразу нескольких технологий проактивной защиты – например, эвристический анализ и эмуляция кода успешно сочетаются с поведенческим анализом, что позволяет многократно повысить эффективность современных антивирусных продуктов против новых, всё более изощренных вредоносных программ. Проактивная защита в некоторых антивирусах самостоятельно анализирует поведение программ, используя поведенческие сигнатуры (шаблоны опасного поведения).

Современный антивирус немыслим без проактивной защиты. Также современный антивирус должен сканировать сайты на наличие эксплойтов, электронную почту – на наличие вредоносных вложений и ссылок. Только комплексная защита обеспечит безопасность вашего компьютера.

Из чего состоит антивирусное ПО?

Принцип работы современных антивирусов заключается в комплексном подходе к вопросам кибербезопасности. У всех компаний разный состав модулей антивирусного ПО. Вот несколько основных:

• Сканер

Ищет вредоносное ПО в оперативной памяти, загрузочных секторах при включении, на локальных и внешних дисках, а также в системных файлах операционной системы. Может выполняться по расписанию, по запросу пользователя или при обращении к данным. Монитор Отслеживает все манипуляции с файлами в режиме реального времени. Находит и обезвреживает вредоносное ПО до того, как оно успевает инфицировать систему.

• Проактивная защита

Анализирует в реальном времени поведение всех запущенных программ и файлов в системе. Выявляет нежелательную активность и вредоносные программы, включая эксплойты.

• Файервол

Контролирует входящий трафик для защиты устройства от несанкционированного вторжения из локальной сети или интернета. Фильтрует подозрительный исходящий трафик. Этот модуль может выпускаться как отдельное ПО.

• Интернет-монитор

Мониторит весь веб-трафик пользователя, блокирует опасные и фишинговые страницы. Фильтрует спам, а также проверяет вложения и ссылки в электронной почте на наличие вредоносных программ и фишинга. Использует отдельный зашифрованный браузер с защитой от клавиатурных шпионов для безопасных онлайн-платежей. Позволяет настроить ограничения доступа к нежелательным категориям сайтов.

Creeper и Reaper

Правила

Мы с вами кратко изучили существующее вредоносное программноe обеспечение (вирусы, трояны, черви) и пути его попадания на компьютеры (эксплойты, рассылки по электронной почте или передача через съемные накопители). В современном мире распространение вирусов через съемные накопители практически сошло нa нет. Зато возникли новые угрозы: заражение компьютеров троянами-кейлоггерами, шифровальщиками и т. д. через зараженные связками эксплойтов сайты. Если двадцать лет назад вирусы писали больше из интереса, тo сейчас отрасль киберпpеступности ориентиpуeтcя на извлечение прибыли – кражу персональных данных, денег со счетов и карт, вымогательство, обман.

Как защитить свой компьютер от всей этой заразы?

1. Своевременно устанавливайте обновления для операционной системы, обновляйте браузеры.

Пуск – > Проверить наличие обновлений.

Настройте систему на автоматическую ежедневную проверку обновлений.

2. Используйте только поддерживаемые операционные системы, потому что к ним периодически выходят обновления, которые закрывают найденные бреши в безопасности.

3. Установите антивирус. Как я уже писал выше, aнтивирусные компании уже давно выпускают комплексные защиты, включающие в себя антивирус с проактивной защитой и файервол. Вы можете выбрать любой из этих продуктов: Norton 360, Avira Antivirus Pro, Kaspersky Internet Security, ESET NOD32, AVG, 360 Total Security, Bitdefender Total Security, McAfee Total Protection. Помните, хороший продукт стоит денег. Так что не экономьте и купите платную подписку.

4. Я не буду агитировать за какой-то конкретный антивирус. Но я бы не рекомендовал Avast, так как тот был уличен в продаже данных пользователей третьим лицам. А также я не доверяю Касперскому, так как сталкивался уже с их экспертами в ходе судебного процесса, о котором подробно рассказывал в своей предыдущей книге «Я – хакер! Хроника потерянного поколения». Так что я просто покажу ход установки антивируса на примере Avira Antivirus.

Скачиваем Avira из интернета:

Запускаем установщик:

Устанавливаем:

Перезагружаемся:

Проходим первое сканирование:

Вот и всё. Современные антивирусы достаточно просты в обращении.

Часть 2. Смартфоны и умные устройства

Смартфоны

Теперь вы знаете, что такое вирусы. И на самом деле компьютерных вирусов сейчас практически не осталось.

Лет десять назад мобильные операционные системы, такие как Symbian, были подвержены вирусным атакам. Правда, вирусов было всего от силы штук двадцать. Победоносного шествия зловредов, как на ранних персональных компьютерах, не получилось.

Первой вредоносной программой для Symbian был червь Cabir. Его обнаружили 14 июня 2004 году. Червь распространялся под видом SIS-приложения Caribe Security Manager (которое должно было, по идеe, защищать смартфон). Запустившись на инфицированном телефоне, он первым делом выводил на экран текстовую строчку Caribe, по созвучию с которой и получил свое название. Затем вредонос пытался передать свою копию по Bluetooth на все доступные поблизости устройства, поддерживающие режим Object Push Profile. Эта технология разработана для передачи между различными девайсами фотографий, музыкальных клипов и других файлов, причем поддерживали ее не только телефоны, но и некоторые Bluetooth-принтеры. Cabir отправлял свою копию в виде файла с расширением. sis, и для успешного заражения владелец атакуемого телефона должен был, во-первых, согласиться принять файл, а во-вторых, запустить его. Тогда Cabir сохранялся в директорию приложений Apps и начинал рассылать себя уже с нового устройства.