Техника безопасности в Интернет Последнее обновление - 28.12.2004 
Общие правила безопасности
      Анализ имени файла
      Основные типы файловnew
      Антивирусный монитор
Просмотр страниц Интернет
Получение электронной почты
      Подметные письмаnew
Загрузка файлов
Телеконференции
Прокси-сервер

Общие правила безопасности

Основную угрозу для безопасности компьютера составляют различного рода вирусные программы. Основной метод внедрения вирусов в компьютер заключается в том, чтобы подложить в компьютер зараженный файл и тем или иным образом склонить владельца ПК к тому, чтобы открыть этот файл.

Важно понимать, само наличие зараженного файла на компьютере еще не говорит о том, что компьютер болен. Но первый шаг уже сделан и осталось только по глупости или нечаянности открыть зараженный файл.

После открытия файла вирус активизируется и начинает управлять операционной системой от имени владельца компьютера, обладая всем его привилегиями. Большинство вирусов старается делать это тихо и незаметно, так что владелец даже и не догадывается о тoм, что в его файлах поселился кто-то еще.

Существует два основных способа, позволяющих отличить вирусную от обычной программы или файла: анализ имени файла и применение антивирусного монитора

Анализ имени файла

Windows показывает полные имена файлов только в том случае, если Вы ее об этом попросите. Поэтому сходите на вкладку Moй компьютер-Вид-Свойства папки-Вид и СНИМИТЕ галочку с пункта Не показывать расширения для зарегистрированных типов файлов. Эта инструкция - для Windows 98; на других версиях Windows указанный пункт может располагаться по-другому. Поищите, начиная с меню Moй компьютер-Вид.

А теперь посмотрите на имя файла, Если файл имеет несколько расширений, типа file.doc.com, file.jpg.vbs и т.п., то налицо попытка Вас надуть и выдать вирусную программу за doc-файл или красивую картинку. Данное надувательство основано на том, что Windows скрывает расширения известных системе файлов. Когда Вы снимали галочку, то Вы попросили систему этого не делать - и тайное стало явным.

Если файл имеет только одно расширение, то Ваше решение будет зависеть от его типа. Основные типы файлов описаны ниже.

Основные типы файлов

Безобидные файлы: TXT - просто текст; GIF, JPG, PNG, TIFF, BMP - картинка; PDF, PS - печатный образ документа;
Данные файлы не содержит код, управляющий операционной системой компьютера и потому не могут служить носителями компьютерных вирусов. Эти файлы можно открывать без каких-либо опасений - при условии, что Вы сами способны адекватно воспринять их содержимое :).

Условно безобидные файлы: HTML, HTM, MHT - страница WWW;
Данные файлы не содержат код, управляющий операционной системой, но они могут имеют чрезвычайно сложную структуру, а показывающие их программы (обозреватели Интернет) изобилуют разнообразными ошибками, из-за чего могут выполнять изначально несвойственные им функции. Эксплуатируя эти ошибки и комбинируя их с другими известными хакерам методами взлома, автор страницы может дорваться до Вашей операционной системы и получить полный или хотя частичный контроль над ней. Мораль - не просматривайте страницы Интернет, если их автору нельзя доверять.

Потенциально опасные файлы: DOC, XLS, PPT, RTF - документ Microsoft Office;
В числе прочего, в этих файлах предусмотрены т.н. макросы - программы на языке Visual Basic for Applications, которые могут управлять операционной системой. Если документ содержит макросы, то при его открытии обычно выдается предупреждение в ответ на которое лучше всего запретить выполнение макросов. Существуют, однако, хакерские способы, позволяющие подавлять предупреждение. Поэтому отсутствие предупреждения не следует воспринимать, как признак того, что макросов нет.

Условно опасные файлы: new SWF - файл Macromedia Flash;
Macromedia Flash - это популярный формат для просмотра анимации в Интернете. В этом качестве он вполне безобиден, но если Вы получили файл SWF по электронной почте - то знайте, что формат Flash позволяет формировать и запускать опасные исполняемые файлы типа COM (см. следующую категорию). new

Опасные файлы: COM, EXE - программа; HLP - справка Windows; BAT, VBS, JS, HTA - скрипт;
Это и есть собственно код, управляющий операционной системой без каких-либо ограничений. Запуская программу на своем компьютере, Вы тем самым добровольно отдаете его во власть автора программы.

Архивы: ZIP, RAR, ARJ, LZH, TAR, GZ;
Архивы сами по себе безобидны, т.е. их можно открывать без каких-либо опасений, но они могут содержать файлы любых типов. Поэтому каждый файл в архиве должен анализироваться индивидуально.

Основной недостаток архивов заключается в том, то зараженный компьютерным вирусом файл не может быть вылечен до тех пор, пока его не извлекут из контейнера. Более того, антивирусный монитор может даже и не сообщит Вам о тoм, что в архиве находится зараженный файл до тех пор, пока Вы не попытаетесь этот файл извлечь. Поэтому при получении любого архива распакуйте его, а при обнаружении вирусов - удалите архив.

Имейте также в виду, что архивы могут быть вложенными. Добирайтесь до самого нижнего уровня!

Антивирусный монитор

Антивирусный монитор - это программа, которая встраивается в операционную системы и проверяет все файлы, которые создаются в процессе работы компьютера, считываются с внешних носителей информации и сетевых дисков, а также извлекаются из архивов и электронных писем. Как правило, антивирусный монитор не проверяет файлы, уже находящиеся на диске, т.к. предполагается, что все эти файлы являются "здоровыми". Поэтому антивирусный монитор дополняется антивирусным сканером, позволяющим "вылечить" зараженный компьютер.

Наличие антивирусного монитора обязательно для всех компьютеров, подключаемых к сети Интернет. Установка антивирусного монитора проводится автоматически при установке антивируса. Если антивирус уже установлен, то убедитесь в том, что в левом нижнем углу экрана находится значок монитора.

Хорошим дополнением для антивируса служит персональный брандмауэр ZoneAlarm. Брандмауэр отслеживает самодеятельную активность Ваших программ по части их взаимодействия с Сетью. Если Вы ненароком запустите трояна, который поспешит доложить своему хозяину об успешной активизации, то эта программа может поймать его за руку. К сожалению, брандмауэр не всеведущ и его довольно легко обмануть. Поэтому установка брандмауэра рекомендуется только для тех пользователей, которые любят загружать из Интернет разнообразные программы.

Просмотр страниц Интернет

  1. Если Вы применяете программу Internet Explorer, то установите версию версию не ниже 5.5, т.к. более ранние версии могут воспринимать проделки сетевых вирусов неадекватно (например, запустить их без предупреждения). Инструкции по установке находятся на странице "Заплатки". Узнать версию обозревателя и наличие установленных сервисных пакетов и заплаток можно в окне "Справка-О программе".

  2. Пожалуйста, установите последнюю версию антивируса и настройте его на ежедневное обновление антивирусных баз через Интернет. При установке антивируса в операционную систему встроится антивирусный монитор Если антивирус уже установлен, то убедитесь в том, что в левом нижнем углу экрана находится значок антивирусного монитора.

Получение электронной почты

Наибольшее число вирусов, в том числе наиболее опасных, теперь распространяется по электронной почте. Эти программы могут выполнять самые различные функции:

  • Автоматическую рассылку копий вашим адресатам.
  • Кража файлов, содержащих интересующую взломщика информацию, например, пароли для доступа в Интернет.
  • Использование вашего компьютера для проникновения на другие компьютеры локальной сети, а также для организации атак типа "Denial of Service".
  • Удаление отдельных файлов на Вашем диске.
  • Разрушение операционной системы.
    Некоторые программы, среди которых наиболее известна "Back Orifice" позволяют взломщику управлять Вашим компьютером через Интернет.

    Зараженные электронные письма содержат текст, приглашающий пользователя посмотреть вложенный файл. Вот пример письма от вируса SirCam 

    Hi! How are you?

I send you this file in order to have your advice

See you later. Thanks
    Следует отметить, что получение и чтение такого письма не связано с какой-либо угрозой для Вашего компьютера, в вот при просмотре вложенного файла происходит активизация вируса со всеми вытекающими из этого последствиями.

    Некоторые новейшие вирусы, например, Nimda и Aliz умеют автоматически вызывать окно открытия файла в расчете на то, что Вы согласитесь с этим заманчивым предложением.

    Чтобы не попасться на удочку вирусописателей, соблюдайте следующие правила:

    1. Если Вы применяете почтовый клиент Internet Explorer (Outlook Express), то установите версию версию не ниже 5.5, т.к. более ранние версии могут воспринимать проделки сетевых вирусов неадекватно (например, запустить их без предупреждения). Инструкции по установке находятся на странице "Заплатки". Узнать версию обозревателя и наличие установленных сервисных пакетов и заплаток можно в окне "Справка-О программе".

    2. Не читайте письма, содержащие рекламную информацию, если только Вы сами не эту информацию не заказали. Рассылка несанкционированной рекламы по электронной почте является нарушением сетевой этики.

    3. Обратите внимание на стиль обращения. Компьютер Вашего корреспондента может быть заражен вирусом, который автоматически рассылает себя от его имени. Если Вы заподозрили неладное, то ни в коем случае не открывайте вложенный файл!

      Если при попытке прочитать письмо система сама предложит открыть файл, то это значит, что к вместе с письмом к вам пожаловал новый и очень опасный вирус, эксплуатирущий ошибки в системе защиты почтовой программы. Ни в коем случае не открывайте файл!

      Если адресат вам известен, то отправьте ему ответ с извещением о случившейся с ним неприятности (а лучше всего известите его по телефону, т.к. не факт, что его компьютер после заражения будет способен принять почту). После этого удалите письмо, а затем выбросите его из папки "Удаленные". В процессе ликвидации вируса он может снова предложить открыть файл, на что, само собой, соглашаться не следует.

    4. Не открывайте вложения, полученные от неизвестных корреспондентов и не отвечайте на полученные от них письма. Отвечая на электронное письмо, Вы поощряете отправителя на продолжение контакта, а также сообщаете ему весьма ценную информацию о Вашем компьютере, которая может быть использована для более целенаправленных попыток взлома.

    5. Электронное письмо легко подделать, и легче всего подделывается текст, высвечиваемый почтовой программой в поле From. Во всех сомнительных случаях проверьте электронный адрес корреспондента, для чего нажмите правую кнопку мыши на содержимом поля From и выберите в меню пункт Свойства).

    6. При необходимости, можно подделать не только имя отправителя, но и его адрес. В этом случае отправитель не получит ответ на свое письмо (ответ уйдет по подделанному адресу), но это ему и не надо. Любимый трюк взломщиков - это отправка письма от имени корпорации Microsoft с грозным предупреждением о новом ужасном вирусе и предложением срочно установить заплатку на операционной системе. Заплатка прилагается в виде вложенного файла.

      Имейте в виду: корпорация Microsoft действительно рассылает предупреждения о дырках в своих программах, но только тем, кто на эти предупреждения подписался - и никогда ничего туда не вкладывает. А все заплатки находятся на www.microsoft.com, куда надо сходить своими ножками. Это не столь удобно, но зато более безопасно, т.к. подменить www.microsoft.com несколько сложнее, чем подделать письмо от secnotif@microsoft.com.

      Аналогичным образом поступает и администрация локальной сети Института. Так что если Вы получили от нас или кого бы то ни было письмо по вопросам безопасности с вложенным антивирусом, заплаткой, тестом и т.п., то знайте - это и есть вирус.

    7. ОЧЕНЬ ВАЖНО - сходите на вкладку Moй компьютер-Вид-Свойства папки-Вид и СНИМИТЕ галочку с пункта Не показывать расширения для зарегистрированных типов файлов. Эта инструкция - для Windows 98; на других версиях Windows указанный пункт может располагаться по-другому. Поищите, начиная с меню Moй компьютер-Вид.

      А теперь посмотрите на имя файла, Если файл имеет несколько расширений, типа file.doc.com, file.jpg.vbs и т.п., то налицо попытка Вас надуть и выдать вирусную программу за doc-файл или красивую картинку. Данное надувательство основано на том, что Windows скрывает расширения известных системе файлов. Когда Вы снимали галочку, то Вы попросили систему этого не делать - и тайное стало явным.

      Если файл имеет только одно расширение, то Ваше решение будет зависеть от его типа - см. раздел Основные типы файлов.

    8. Мышка так и тянется к файлу... Это может показаться перебором, но теперь самое время поставить на свой компьютер персональный брандмауэр ZoneAlarm. Данный брандмауэр отслеживает самодеятельную активность Ваших программ по части их взаимодействия с Сетью. Если Вы ненароком запустите трояна, который поспешит доложить своему хозяину об успешной активизации, то эта программа поймает его за руку. Кроме того, ZoneAlarm переименовывает потенциально опасные вложения в файлы с расширениями ZL? и предупреждает о потенциальной опасности при попытке их запуска (эта функция называется MailSafe и распространяется только на почту, полученную после установки и активизации ZoneAlarm). В число опасных входят, например, все файлы типов COM, EXE, VBS. Это весьма примитивная, но эффективная защита, которая наиболее удобна для тех, кто позволяет Windows "Не показывать расширения для зарегистрированных типов файлов." Так что если Вам лень выполнять все рекомендации данной инструкции, то MailSafe - это как раз то, что Вам надо.

    9. Вы уже решились открыть вложение? Пока рано. Даже самые уважаемые персоны частенько болеют компьютерным гриппом и могут ненароком отправить вам файл с приветом. Пожалуйста, установите последнюю версию антивируса и настройте его на ежедневное обновление антивирусных баз через Интернет. При установке антивируса в операционную систему встроится антивирусный монитор Если антивирус уже установлен, то убедитесь в том, что в левом нижнем углу экрана находится значок антивирусного монитора.

      Теперь потренируемся и заодно проверим работу антивирусного монитора.
      Вот электронное письмо с вложенным имитатором компьютерного вируса Eicar. Нажмите на этой ссылке правую кнопку мыши и выберите пункт "Cохранить файл". Если антивирус будет возражать, то нажмите "Игнорировать". После окончания загрузки откройте файл, и Вы увидите текст письма с дальнейшими инструкциями.

    10. Сохраните вложение на диске (не надо сразу открывать!). Если вложений несколько, то их можно сохранить все сразу - для этого есть пункт в контекстном меню. Если антивирус не позволил Вам это сделать, то вложение заражено.

    11. Сохранили? Если Ваш компьютер настроен так, что он скрывает расширения файлов (см. выше пункт 6), то теперь нажмите правую кнопку мыши на имени файла и выберите в меню пункт Свойства. Если показанное Вам расширение не совпадает с расширением в Имени MS DOS, то это вложение с подлогом - см. объяснения в пункте 6.

    12. А вот теперь открывайте файл. Если что-нибудь ругнется, то лучше судьбу не испытывать. Если Вы попали в архив, то распакуйте все его файлы и принимайте решение по каждому файлу в отдельности, так как описано здесь.
    И последняя рекомендация. Попросите своих корреспондентов не отправлять вам письма с вложениями. Для большинства целей вполне достаточно составить письмо в формате HTML.

    Почитать:
    Вирусная энциклопедия AVP
    WWW-страница Dialogue Science: Предупреждения Dialogue Science

    Подметные письма

    new Еще один способ надувательства заключается в распространении разного рода советов о том, что надо сделать с Вашим компьютером для того, чтобы удалить вирус. Чтобы притупить Вашу бдительность, в таких письмах обычно не бывает вложений. Но зато там содержится просьба переслать копии всем Вашим адресатам. Здесь есть одна тонкость - отправитель письма тоже может оказаться в Вашей адресной книге. Пересылая его инструкции всем коллегам, Вы тем самым сообщаете отправителю их электронные адреса. Понятно? Адреса электронной почты - это очень ценные сведения для тех, кто занимается несанкционированной рассылкой рекламы. Имейте также в виду, что удаление файлов из системного каталога WINDOWS может нарушить работу компьютера. Поэтому, если Вы все-таки решили выполнить указанные в письме рекомендации, то сначала создайте резервные копии удаляемых файлов, а после проведения экзекуции перезагрузите компьютер, дабы убедиться в его нормальной работе. И только после этого пересылайте письмо своим знакомым! new

    Почитать:
    Еще раз о SULFNBK.EXE

    Загрузка файлов

    Из Интернет можно получить самые различные файлы, в том числе и такие, которые было бы лучше оставить на тех местах, где они лежали :(. Независимо о содержания файла, его загрузка не представляет какой-либо опасности - до тех пор, пока Вы не попытаетесь его открыть (или запустить, если речь идет о программе).

    Чтобы не пришлось жалеть о последствиях своего любопытства, соблюдайте следующие правила:

    1. Не загружайте то, что Вам заведомо не нужно, даже если это халява :).

    2. Загружайте файлы только из заслуживающих доверия узлов Интернет.

    3. Установите последнюю версию антивируса и настройте его на ежедневное обновление антивирусных баз через Интернет. При установке антивируса в операционную систему встроится антивирусный монитор. Если антивирус уже установлен, то убедитесь в том, что в левом нижнем углу экрана находится значок антивирусного монитора.

    4. Теперь потренируемся и заодно проверим работу антивирусного монитора.
      Вот файлы с безвредным имитатором компьютерного вируса:
      eicar.com (собственно имитатор);
      eicar.zip   (архив с eicar.com).

      Нажмите на верхней ссылке правую кнопку мыши и выберите пункт Cохранить объект как (реакция на нажатие левой кнопки зависит от установленного на Вашем компьютере ПО, поэтому этот случай мы здесь не рассматриваем). Монитор предложит предложит список вариантов, в их числе - удалить или вылечить его (если последнее возможно). Аналогичной должна быть и реакция на попытку запустить программу по пункту Открыть. Независимо от ваших действий, монитор никогда не позволит запустить зараженный файл.

      Теперь проделайте то же самое с архивом. Монитор позволит сохранить архив, и даже открыть его, но возразит против извлечения зараженного файла.

    5. ОЧЕНЬ ВАЖНО - сходите на вкладку Moй компьютер-Вид-Свойства папки-Вид и СНИМИТЕ галочку с пункта Не показывать расширения для зарегистрированных типов файлов. Эта инструкция - для Windows 98; на других версиях Windows указанный пункт может располагаться по-другому. Поищите, начиная с меню Moй компьютер-Вид.

      А теперь загрузите файл и посмотрите на его имя, Если файл имеет несколько расширений, типа file.doc.com, file.jpg.vbs и т.п., то налицо попытка Вас надуть и выдать вирусную программу за doc-файл или красивую картинку. Данное надувательство основано на том, что Windows скрывает расширения известных системе файлов. Когда Вы снимали галочку, то Вы попросили систему этого не делать - и тайное стало явным.

      Если Ваш компьютер настроен так, что Windows скрывает расширения файлов, и Вы не желаете или не можете поменять настройку, то нажмите правую кнопку мыши на имени файла и выберите в меню пункт Свойства. Если показанное Вам расширение не совпадает с расширением в Имени MS DOS, то это файл с подлогом.

      Если файл имеет только одно расширение, то Ваше решение будет зависеть от его типа - см. раздел Основные типы файлов.

    6. А вот теперь открывайте файл. Если что-нибудь ругнется, то лучше судьбу не испытывать. Если Вы попали в архив, то распакуйте все его файлы и принимайте решение по каждому файлу в отдельности, так как описано здесь.

    Телеконференции

    В отличие от приватной электронной почты, статьи в телеконференциях открыты для всех желающих их прочитать, в том числе для спамеров, кракеров и прочей нечисти. Поэтому не следует публиковать в телеконференциях свой рабочий электронный адрес.

    Бесплатный почтовый ящик для открытой переписки можно завести на многих общедоступных серверах, например, на www.mail.ru. После организации почтового ящика он указывается в качестве адреса электронной почты для телеконференций.

    Прокси-сервер

    Для лучшей изоляции компьютера от сети Интернет рекомендуется настроить обозреватель Интернет для работы через прокси-сервер.
    Для настройки Internet Explorer 3 следует:
    1. Вызвать вкладку "Пуск-Настройка-Панель управления-Интернет-Подключение".
    2. Поставить галочку на метке "Подключение через Прокси-сервер".
    3. Вызвать окно "Настройка" и ввести информацию, изображенную на рисунке.
    Для настройки Internet Explorer 4 следует:
    1. Вызвать вкладку "Пуск-Настройка-Панель управления-Интернет-Соединение".
    2. Поставить галочку на метке "Подключиться к Интернету через Прокси-сервер".
    3. Вызвать окно "Дополнительно" и ввести информацию, изображеную на рисунке.
    Для настройки Internet Explorer 5 следует:
    1. Вызвать вкладку "Пуск-Настройка-Панель управления-Свойства обозревателя-Подключение-Настройка сети".
    2. Убрать галочку на метке "Автоматическое определение настроек" и поставить галочку на метке "Использовать Прокси-сервер".
    3. Вызвать окно "Дополнительно" и ввести информацию, изображеную на рисунке.

    ВНИМАНИЕ: Если прокси-сервер не работает, то Вы сможете обращаться к локальным страничкам УрО РАН, но не сможете выполнять переходы по удаленным ссылкам, например, на Яndex и.т.п. В этом случае можно временно отключить Прокси, сняв галочку "Подключение через Прокси-сервер".

    СОВЕТ: Если Вы можете связаться только с российскими узлами, то доступ к зарубежным узлам можно попробовать получить через прокси-сервер РАН proxy.ras.ru:3128. Используйте прокси-сервер РАН только в случае крайней необходимости и не применяйте его для связи внутри России!

    Чтобы не тратить время на перенастройку, рекомендуется использовать локальный Прокси-сервер imach.uran.ru:3128, как это показано на рисунке. Данный Прокси-сервер пока работает только для протокола http: (т.е. работать с протоколами ftp: и gopher: через него нельзя, поэтому для подключения к нему следует убрать галочку "Один прокси-сервер для всех протоколов"), но зато выдает приличную диагностику ошибок на английском языке под заголовком "WebWasher". Этот прокси можно поставить и себе на компьютер, в этом случае его можно настроить для очистки WWW-страниц от рекламы. Установка Web Washer.