Компьютерные советы (сборник статей)

Способ 3. Используем биты NX/XD

Наконец, высший пилотаж — защита кодовых секций от внедрения. Работает только на процессорах с поддержкой битов NX/XD (то есть достаточно современных процессорах) и с XP SP2 с задействованным аппаратным DEP для всех приложений (по умолчанию DEP распространяется только на системные компоненты).

В отладчике нажимаем , чтобы увидеть карту адресного пространства. Находим там модуль, имя которого совпадает с именем антивирусного процесса; видим секцию. text (реже CODE), щелкаем правой клавишей мыши, в контекстом меню выбираем пункт «Set Access — > Execute» — и все! С этого момента любая попытка чтения секции кода приведет к исключению, отлавливаемому отладчиком и блокирующему атаку. Напоминаю, что этот трюк действует только при соответствующей поддержке со стороны операционной системы и процессора (за подробностями отсылаю к своей статье, где все это описано). Правда, если антивирус/брандмауэр попытается подсчитать контрольную сумму кодовой секции для проверки собственной целостности, то его встретит жестокий облом. Впрочем, мы можем нажать для продолжения выполнения кода или на время снять запрет на чтение кодовой секции, только это все равно не спасет от малвари, модифицирующей стек или секцию данных. Но, к счастью, умной малвари в живой природе практически не встречается, и все больше приходится бороться со студенческими поделками.

Другая возможная проблема — антивирус/брандмауэр может не захотеть запускаться из-под отладчика, например, потому что доверху нашпигован различными антиотладочными приемами. Ну и что нам делать?!

Способ 4. Настраиваем права доступа

Хорошая идея — запустить антивирус/брандмауэр от имени администратора, а самим работать в пользовательской сессии. Тогда малварь, обладающая пользовательскими правами, просто не сможет открыть процесс защищенного приложения. Запуск программ от имени другого пользователя (в данном случае администратора) осуществляется штатной командой runas с ключами /profile и /env, копирующими профиль и среду текущего пользователя. Без этих ключей антивирус/брандмауэр, не найдя своих настроек, может просто не запуститься!

Запуск приложений от имени администратора— достаточно надежное средство защиты от посягательств на адресное пространство защищаемого процесса со стороны малвари, но! Эмуляция клавиатурного/мышиного ввода продолжает работать, что не есть хорошо. Как этому противостоять?! Увы, ответ обескураживающий. Даже со всеми нововведениями Windows Vista — никак. Единственная зацепка — заголовок окна. Большинство зловредных программ именно так и «палит» антивирусы/брандмауэры. Ну, изменить заголовок не проблема. Это умеет делать любой продвинутый твикер, например старый-добрый Customiser. Он же умеет двигать элементы управления (например, кнопки), изменяя их размеры. Зачем это нужно?! А затем, что более продвинутая малварь не смотрит на заголовок главного окна, а сечет раскладку дочерних элементов управления, поскольку положение и размеры элементов управления уникальны для каждого приложения, и их (в целях маскировки) рекомендуется слегка изменять. Customizer (как и большинство других твикеров подобного типа) позволяет сохранять профили изменений, автоматически восстанавливая их при каждом запуске и освобождая нас от необходимости делать эту рутинную работу вновь и вновь.

Способ 5. Защищаем hosts-файл

Следи также за файлом \WINNT\System32\Drivers\etc\hosts, удаляя посторонние записи. В принципе ничего не мешает грохнуть и сам файл hosts, поскольку очень мало пользователей использует его по назначению.

Следуя обозначенным рецептам защиты, мы намного увеличим безопасность своего компьютера, нанося малвари сокрушающий ответный удар. Но в мире нет и не может быть защиты, которую нельзя обойти. Поместив антивирус/брандмауэр в «бронежилет», мы всего лишь уменьшаем вероятность прямых попаданий, отсекая большое количество «шрапнели», пущенной пионерами. Приемы, предлагаемые нами, не претендуют ни на универсальность, ни на полноту. Однако они не требуют никакой квалификации и доступны каждому пользователю. А многолетний опыт автора показывает, что защищаться от малвари можно и нужно.

Используй описанные методы на свой страх и риск. Учти, что в случае неумелого использования и в некоторых других конкретных случаях можно не увеличить защиту, а скорее навредить.

Автор: Олег Бойцев

Источник: © компьютерная газета

В рамках данной статьи мы поговорим о безопасности локальной сети. Особое внимание будет уделено вопросам защиты технического уровня и практическим рекомендациям по обеспечению безопасной LAN. Учитывая всеобьемлемость темы, я постараюсь заострить внимание читателя на следующих вопросах: какие уязвимости используются чаще всего и какие политики безопасности им можно противопоставить.

Безопасная архитектура — это фундамент

Итак, помимо централизованной политики безопасности, без которой de facto невозможно построение безопасной сети в принципе, особое внимание следует обратить на следующее:

1) Использование безопасных протоколов обмена (не секрет, что такие текстовые протоколы, как FTP и Telnet, представляют собой явную угрозу) и туннелирование данных, например, посредством SSH.

2) Шифрование критичных данных с использованием надежных криптоалгоритмов.

3) Использование архитектуры, включающей в себя наличие DMZ (демилитаризованной зоны), обслуживаемой двумя файрволлами.

4) Использование IDS (Intrusion-Detection System), IPS (Intrusion-Prevention System) и NAT.

5) Защита периферии посредством тонких клиентов и двухфакторной системы аутентификации.

DMZ. Проектирование демилитаризованной зоны

Не секрет, что системы, открытые для прямого доступа извне, являются главными целями злоумышленников. Для организаций, имеющих дело с критичной и конфиденциальной информацией, вопрос защиты периметра сети стоит особенно остро. Политика безопасности внешних систем (web-сервер, почтовый сервер и др.) требуют самой тщательной проработки, так как они подвержены нападению в первую очередь. Задача заключается в том, чтобы ограничить доступ этих систем к действительно важным и секретным компьютерам, расположенным внутри сети, что реализуется посредством технологий, описанных мною ниже.

DMZ — сокращение от demilitarized zone (демилитаризованная зона) — подразумевает собой фрагмент сети, не являющийся полностью доверенным. Смысл создания DMZ заключается в том, чтобы оградить внутреннюю систему (в данном случае это наша защищенная LAN) от доступа, который осуществляется из Интернета. DMZ создается посредством реализации полузащищенной сетевой зоны, что достигается путем применения межсетевых экранов или маршрутизаторов со строгими фильтрами. Затем посредством элементов управления сетью определяется политика, какому трафику разрешается проникновение в DMZ, а какому трафику разрешено выходить за пределы DMZ. Очевидно, что все системы, доступные из внешней среды, должны быть размещены в демилитаризованной зоне. Следует учитывать и то, что, если система доступна через интерактивный сеанс (такой, как telnet или SSH), то открывается возможность проведения атак против других систем, находящихся в DMZ. В качестве модели рассмотрим следующую. Одна из возможных архитектур безопасной LAN c использованием демилитаризованной зоны изображена на рис. 1: