Теми статей
Обрати теми

Антивірус або комплексне рішення?

Редакція БК
Стаття

Антивірус або комплексне рішення?

 

Коли ми запитуємо у знайомого, який засіб захисту встановлено на його комп’ютері, то за звичкою говоримо: «Який у тебе антивірус?». При цьому мало хто замислюється над тим, що сьогодні антивірус уже не може повноцінно захищати ПК від сучасних загроз, які останнім часом дуже еволюціонували та вже не обмежуються одними лише вірусами.

Матеріал надано компанією «Лабораторія Касперського»

 

Користувачам загрожують троянські програми та хакери, їх підстерігають фішингові сайти, настирливі рекламні банери вискакують звідусіль, спам забиває поштові скриньки, а підлітків заманюють сайти з порнографією та іншим шкідливим контентом.

Більше того, ці загрози можуть бути й комбінованими, тобто можуть поєднувати в собі віруси, трояни, шпигунські програми, спам тощо. Таким чином, збудувати систему ефективного захисту можна лише за допомогою різних технологій захисту. Тому на перший план оборони користувача виходять комплексні захисні рішення класу Internet Security, що поки що ігноруються багатьма домашніми користувачами, які використовують тільки один антивірус. Люди просто недооцінюють небезпеки, приховані у всесвітній мережі.

У корпоративному сегменті стан справ кращий, але багато хто із системних адміністраторів також вважає, що на робочій станції вистачить антивіруса, а основні засоби захисту потрібно застосовувати для захисту периметра мережі. Мета цієї статті — показати необхідність об’єднання різних технологій боротьби в єдиний комплекс, що потребує постійного додавання нових технологій захисту.

 

Вони з мережі

Одним з основних інструментів захисту від мережних небезпек є фаєрвол, він же мережний екран, — своєрідний прикордонний пост між Інтернетом та комп’ютером. Незважаючи на свою важливість і потрібність, він маловідомий звичайним користувачам: хтось узагалі не здогадується про його існування, хтось не розуміє, навіщо він потрібний, а хтось просто лінується в ньому розбиратися. Коріння цієї ситуації криється в далекому минулому, коли мережний екран був дуже складним і дорогим продуктом, доступним лише професіоналам — корпоративним системним адміністраторам, програмістам та іншим персонажам, чия робота була безпосередньо пов’язана з комп’ютерами. Тільки вони мали у своєму розпорядженні це ПЗ і повинні були за службовим обов’язком у ньому розбиратися. Але з появою таких відомих мережних черв’яків, як Nimda, MSBlast (Lovesan), Sasser та інших, стало зрозуміло, що без персонального фаєрвола не обійтися і пересічному користувачу. І якщо раніше фаєрвол був інструментом професіоналів, то сьогодні практично в усіх сучасних рішеннях Internet Security є вбудований мережний екран різного ступеня складності.

Причинами цього можна назвати стрімкий розвиток шкідливих програм та появу таких небезпечних видів, як мережні черв’яки. Ці шкідники не потребують участі користувача — вони самостійно поширюються мережами, проникають на віддалені комп’ютери і, просуваючись далі, за короткий проміжок часу заражають величезну кількість машин.

На зараженому комп’ютері черв’як особливо не церемониться: він копіює, змінює або знищує інформацію, установлює вбудовані трояни для відправлення конфіденційної інформації (паролів, номерів кредитних карток тощо) або розміщує Trojan-Downloader для доставки на комп’ютер користувача інших шкідливих програм.

Також він може встановити Backdoor — троянські утиліти віддаленого адміністрування. Ці утиліти дозволяють робити з комп’ютером все, що в них заклав автор: приймати чи відсилати файли, запускати і знищувати їх, виводити повідомлення, стирати інформацію, перезавантажувати комп’ютер тощо.

А проти такої неприємної модифікації, як безтілесні мережні черв’яки (CodeRed, Slammer), що не створюють у процесі розмноження ні тимчасових, ні постійних файлів, звичайні файлові антивірусні монітори та сканери і зовсім безсилі.

Більшість компаній захищають свою мережу за периметром, і системні адміністратори деякий час вважали, що для гарантування безпеки достатньо на рівні мережі перекрити порти, які використовуються черв’яками, тобто що проблема захисту настільних комп’ютерів стоїть лише перед домашніми користувачами. Але виявилось, що це не так. Черв’яків підхоплювали користувачі ноутбуків, і в результаті при підключенні до корпоративної мережі черв’як починав безперешкодно розмножуватися.

Водночас навіть найпримітивніші персональні мережні екрани, що контролюють лише вхідний трафік на рівні клієнтського комп’ютера, здатні протидіяти розповсюдженню деяких мережних черв’яків. Для цього достатньо задати певний набір правил, що забороняють використовувати певні порти, блокують вхідний трафік з певних IP-адрес, а також забороняють отримання вхідного трафіка певним прикладним рішенням. Усе це значно знижує здатність черв’яків до розмноження і доставки на комп’ютер користувача інших шкідливих програм.

Усвідомивши ситуацію, що склалася з розповсюдженням мережних черв’яків, багато розробників додали до своїх продуктів односторонні (що контролюють лише вхідний трафік) мережні екрани. Так зробив Symantec, додавши у Norton Antivirus функцію Internet Worm Protection — по суті, односторонній персональний мережний екран. Так зробив Microsoft, додавши мережний екран до центру безпеки Microsoft Windows XP Service Pack 2, Vista і Windows 7.

Для свого розповсюдження мережні черв’яки сканують комп’ютери, що атакуються, у пошуках відкритих портів та уразливостей у програмному забезпеченні. Причому часто це не нові, а давно відомі уразливості — користувачі просто не встановили необхідні перепони, і проломом у системі безпеки можна скористатися. Тому деякі антивірусні компанії (наприклад, «Лабораторія Касперського») для боротьби з мережними черв’яками включили до своїх продуктів для клієнтських комп’ютерів систему виявлення вторгнень — Intrusion Detection System.

Завдання такої IDS полягає в аналізі вхідних з’єднань, визначенні факту сканування портів комп’ютера, а також фільтрації мережних пакетів, спрямованих на використання уразливостей програмного забезпечення. При спрацьовуванні підсистеми виявлення вторгнень усі вхідні з’єднання з атакованого комп’ютера на певний час блокуються, а користувач отримує повідомлення про те, що його комп’ютер зазнав мережної атаки. Робота підсистеми виявлення вторгнень ґрунтується на використанні під час аналізу спеціальної бази атак, що регулярно оновлюється.

Розглянуті засоби захисту (односторонній мережний екран та IDS) захищають лише від зовнішніх вторгнень, але часто мережні черв’яки, проникаючи на комп’ютер, установлюють на ПК користувача троянські програми, що здатні здобувати віддалений контроль над комп’ютером, просканувати комп’ютер у пошуках конфіденційної інформації та здійснювати стеження за діями користувача.

При цьому зазначені троянські програми передають різними шляхами зібрану інформацію своєму «господарю». Отже, без контролю вихідного трафіка комп’ютер користувача залишається уразливим. Крім того, при розмноженні мережний черв’як пересилає себе із зараженого комп’ютера на інші ПК, а контроль вихідного трафіка може запобігти подальшому поширенню черв’яка.

Саме тому для повноцінного захисту потрібен двосторонній персональний мережний екран, що контролює вхідний та вихідний трафіки від прикладних програм. Захист забезпечується за рахунок застосування правил використання мережних ресурсів прикладними програмами, установленими на комп’ютері. Відбувається аналіз мережних пакетів з урахуванням напрямку руху пакета, типу протоколу його передачі, а також порту, що використовується. При цьому враховуються не лише характеристики мережного пакета, а й конкретне прикладне рішення, якому адресовано цей пакет або яке ініціювало відправлення цього пакета.

Таким чином, дозволивши вихідний трафік лише довіреним прикладним програмам, можна убезпечити себе від істотної частини описаних вище загроз. Одна з проблем, що гальмують поширення персональних мережних екранів, це необхідність настроювати доступ до мережі для різних програм. Багатьом пересічним користувачам це не до снаги. Для вирішення цього завдання деякі вендори поставляють свої рішення з наперед установленими правилами для найпоширеніших прикладних програм.

Найпросунутішу програму мережного екрана в персональному продукті на сьогодні пропонує «Лабораторія Касперського». В останній версії рішення Kaspersky Internet Security фаєрвол є не окремим модулем, а дуже тісно пов’язаний з іншими компонентами, що контролюють активність програм на комп’ютері користувача. Фаєрвол контролює доступ програм до мережних ресурсів, зокрема до Інтернету, інші компоненти контролюють доступ тих самих програм до локальних ресурсів: файлів операційної системи, реєстру, конфіденційних даних, пристроїв тощо. І що особливо важливо — за умовчанням користувачу не доводиться настроювати ці складні механізми контролю, Kaspersky Internet Security автоматично визначає необхідні настройки виходячи з наявності конкретних програм у білому дозволеному списку або, якщо програми немає в цьому списку, — ґрунтуючись на наперед визначеному рейтингу небезпеки певної конкретної програми. Для позначення таких систем контролю активності програм усе частіше використовується термін HIPS. Далі цей клас захисту буде розглянуто докладніше.

 

Host Intrusion Prevention System — HIPS

Як ми побачили, мережні екрани та системи виявлення вторгнень є необхідними для повноцінного захисту призначених для користувачів комп’ютерів доповненням до антивіруса. Необхідним, але, на жаль, недостатнім. Справа в тому, що існує багато техніки обходу таких систем. Зокрема, шкідлива програма може підміняти собою нормальні рішення, такі як браузер або поштова програма. Відомі різні технології підміни:

— шкідлива програма змінює ім’я свого виконуваного файлу на ім’я одного з відомих рішень та переміщається до директорії, де знаходиться це рішення. Після цього шкідлива програма також може прописати свій ключ у реєстрі, щоб ініціювати автозапуск при наступному старті системи;

— шкідлива прикладна програма впроваджується у процес програми, що атакується (безпосередньо у пам’яті). Після успішного впровадження атакуюча програма перехоплює управління процесом та робить спробу передачі персональних даних на віддалений сервер;

— атакуюча прикладна програма здійснює прихований запуск браузера з певними параметрами, що може бути використано для скачування інших шкідливих програм.

Усі ці види атак практично неможливо зупинити стандартними мережними екранами, оскільки шкідлива програма маскується під рішення, якому доступ до мережних ресурсів відкрито. Антивірусні програми також погано розпізнають шкідливі процеси, упроваджені у стандартні прикладні програми.

Тут «на сцену виходять» системи запобігання вторгненням рівня хоста (Host Intrusion Prevention System— HIPS). Надаючи програмам або користувачам доступ до ресурсів операційної системи та мережі, HIPS-продукти обмежують їх права читання, записування та виконання, захищають такі системні ресурси, як порти, файли та ключі реєстру. Отже, по суті, ці системи включають можливості мережних екранів та систем виявлення вторгнень, але до цих функцій додаються можливості контролю небезпечної активності прикладних програм: контроль цілісності рішень (щоб запобігти впровадженню шкідливого рішення), моніторинг змін у системному реєстрі та інші важливі функції контролю підозрілих дій, що відбуваються в системі. Один із підвидів HIPS, що контролюють небезпечну активність, ще часто називають поведінковими блокаторами.

Поведінковий блокатор аналізує поведінку всіх процесів, запущених у системі, зберігаючи всі зміни, здійснювані у файловій системі та реєстрі. При виконанні будь-якою програмою набору підозрілих дій видається попередження користувачу про небезпеку цього процесу. Користувач може припинити роботу процесу або дозволити підозрілому процесу подальшу роботу. Робота аналізатора підозрілої активності (поведінкового блокатора) є проактивною та не вимагає випуску спеціальних сигнатур (як у стандартних антивірусних засобах), що дозволяє боротися з новими загрозами, які щойно з’явилися. Проте ці системи потребують участі користувача у прийнятті рішення, що може призвести до помилкових дій. Тому найефективніше використовувати поведінкові блокатори спільно зі стандартними антивірусними засобами, щоб не навантажувати користувача прийняттям рішення щодо відомих загроз.

Такі комплексні рішення, що включають поведінковий блокатор, на сьогодні є в Panda Sеcurity, Symantec і «Лабораторії Касперського», яка інтегрувала всі компоненти захисту в єдиний комплекс, починаючи з Kaspersky Internet Security 6.0 (KIS 6.0). Не зупиняючись на досягнутому, «Лабораторія Касперського» розробила та реалізувала у рішенні Kaspersky Internet Security 2010 ще один унікальний модуль фільтрації активності програм, що істотно розширює можливості рішення по боротьбі з невідомими загрозами. Це наступний крок у боротьбі з невідомими загрозами після поведінкового блокатора.

При першому запуску на ПК будь-якої прикладної програми новий модуль проводить аналіз її поведінки в захищеному віртуальному середовищі («пісочниці») та на основі його результатів присвоює такій програмі певний рейтинг небезпеки. Якщо він буде високим (тобто програма потенційно може завдати шкоди), то цій програмі буде заборонено мережну активність, доступ до ресурсів системи, файлів тощо. Якщо ж рейтинг низький, тобто програму визнано благонадійною, то жодних проблем з роботою в неї не виникне. А для скорочення часу, що витрачається на аналіз програми, KIS2010 утримує зв’язок з величезною онлайновою базою даних «хороших» програм, що постійно оновлюється.

Звичайно, простому користувачу важко помітити різницю між поведінковими блокаторами та іншими системами контролю активності прикладних програм. Та здебільшого це й не потрібно, головне — результат: запобігання зараженню. Але оскільки мета цієї статті — популярною мовою розповісти про необхідність комплексного захисту, то спробуємо пояснити й цю тонку різницю.

Припустимо, що у квартирі працює бригада малярів і господар квартири відчуває певні побоювання з приводу збереження цінностей. У нього є два варіанти уникнути можливої крадіжки. Перший — це постійно стежити за малярами і в разі вчинення ними підозрілих дій ці дії припиняти, можливо, із застосуванням грубої фізичної сили (наприклад, вони можуть порсатися у ваших скриньках, заглядати в шафи, намагатися щось винести під спецівкою тощо). Ця модель точно повторює дії поведінкового блокатора.

Інший варіант — оцінити ступінь підозрілості малярів ще при вході до квартири і, якщо вони здадуться підозрілими, закрити всі цінні речі в надійному місці, закрити їм доступ до житлових кімнат, замкнути вхідні двері, щоб запобігти винесенню цінностей. Цей підхід саме і становить другий метод контролю активності програм — завчасне обмеження доступу.

У KIS 2010 поєднуються обидва ці методи і в результаті цілком природно підвищується рівень захищеності. Якщо ви вжили запобіжних заходів та заборонили малярам доступ до певних приміщень, але при цьому додатково ще й стежите за їх діями — шансів щось украсти в них мало.

 

Які ще загрози існують і як з ними боротися

РУТКІТИ

Термін «руткіт» (англ. rootkit) історично позначає набір утиліт для Unix, які дозволяють підвищити привілеї зловмисника на комп’ютері, що атакується. З часом прив’язка до Unix послабшала, і терміном «руткіт» незалежно від операційної системи почали називати технології приховування діяльності певного програмного забезпечення в системі.

Перед авторами шкідливих програм завжди стояло завдання максимально довго зберігати присутність шкідливої активності в системі непомітним для користувача та антивірусних засобів. Руткіти якраз і є технологією, що дозволяє приховувати цю активність. Вони використовуються для приховування мережної активності, ключів реєстру, драйверів, процесів.

Останнім часом використання rootkit-технологій для приховування присутності шкідливого ПЗ стає все популярнішим. Як ми бачимо, кількість нових руткітів постійно зростає, і відстежувати їх лише стандартними сигнатурними антивірусними засобами стає неможливо. Тому системи виявлення вторгнень, про які йшлося, повинні містити антируткіт-технології. Справа в тому, що у процесі свого установлення руткіт не такий уже й непомітний. Руткіти роблять спроби впровадження у процеси, у тому числі й до Task Manager (щоб приховати свою присутність), установлюють свої драйвери в систему. Усе це не видно користувачу, але не залишається непомітним для ефективних засобів захисту. Для того щоб результативність виявлення руткітів була вищою, виробники застосовують у своїх проектах різні нові рішення. Наприклад, новий антивірусний движок «Лабораторії Касперського» містить у собі оновлюваний антируткіт-компонент, що уможливлює оперативне додавання до нього нових даних, які дозволяють виявити новітні malware, що використовують rootkit-технологію.

З одним із руткітів, що отримав позначення Rustock.C, пов’язана захоплива і практично детективна історія, яку можна прочитати за адресою http://www.viruslist.com/ru/analysis?pubid=204007614.

 

ШПИГУНСЬКІ ПРОГРАМИ

Сьогодні на ринку не існує сталого загальноприйнятого визначення терміна spyware. Різні компанії розуміють цей термін дещо по-різному, створюються різні коаліції по боротьбі зі spyware, виробляються визначення, але знову ж таки єдності немає. Єдності немає, а spyware (шпигунські програми є) завдають реальної шкоди користувачам.

На жаль, багато хто з користувачів легковажно ставиться до проблеми spyware, вважаючи програми цього класу нешкідливими. Частково це відбувається якраз тому, що, не визначившись із термінологією, представники компаній розробників, та й самі журналісти недостатньо чітко доносять до широкої аудиторії інформацію про ступінь загрози від spyware.

Під визначення «spyware» («шпигунські програми») підпадають програми, що приховано збирають різну інформацію про користувача комп’ютера і потім відправляють її своєму автору.

Ці програми інколи проникають на комп’ютер під виглядом adware-компонентів інших програм і не мають можливості деінсталяції користувачем без порушення функціонування програми, що їх використовує. Інколи spyware-компоненти виявляються у дуже поширених програмних продуктах відомих на ринку виробників.

Шпигунські програми, що проникають на комп’ютер користувача за допомогою інтернет-черв’яків, троянських програм або при атаках хакерами уразливостей у встановлених програмних продуктах, у класифікації «Лабораторії Касперського» було віднесено до категорії TrojanSpy. І це зроблено не випадково, оскільки цей клас spyware за поведінкою є справжнісінькими троянами.

Trojan-Spy здійснюють електронне шпигунство за користувачем зараженого комп’ютера: інформація, що вводиться з клавіатури, знімки екрана, список активних прикладних програм та дії користувача з ними зберігаються в будь-якому файлі на диску та періодично відправляються зловмиснику. Троянські програми цього типу часто використовуються для крадіжки інформації користувачів різних систем онлайнових платежів та банківських переказів.

Існує безліч окремих програмних продуктів, призначених для боротьби зі spyware. Але, як ми побачили, грань між шкідливим програмним забезпеченням і spyware дуже тонка. Ті ж трояни можуть використовуватися:

— мережними черв’яками для розмноження — у цьому випадку ми мусимо віднести їх до класу шкідливих програм;

— зловмисниками для стеження за користувачами — у цьому випадку це spyware.

Найлогічнішим у цій ситуації вбачається об’єднання антивірусних та антишпигунських технологій у межах єдиного комплексу. Саме такий захист реалізовано в комплексних рішеннях для персонального використання Kaspersky Internet Security 2010, Norton Internet Security 2010 та інших подібних продуктах. Більше того, деякі розробники включають механізми боротьби зі шпигунами не лише до рішень для комплексного захисту, а й до суто антивірусних продуктів. Таким шляхом пішла, наприклад, «Лабораторія Касперського».

Компанії — розробники антивірусних рішень уключають сигнатури шпигунських програм до своїх баз, у результаті користувачі отримують повніший захист. Але цим спектр захисту від spyware не обмежується. Проактивні модулі, що відстежують підозрілу активність у системі, також є ефективним засобом боротьби не лише зі шкідливим програмним забезпеченням, а й зі шпигунським ПЗ. Тут ми знову бачимо необхідність спільного використання стандартних сигнатурних методів та проактивного захисту.

 

СПАМ ТА ФІШИНГ

З часу своєї появи і до сьогодні спам дуже еволюціонував, перетворившись із нав’язливої, але не дуже обтяжливої, реклами Центру американського англійського на величезний потік сміттєвих листів, що становлять понад 90 % пошти Рунету. Крім того, що спам «з’їдає» трафік та забирає в користувачів багато часу на своє видалення (під час якого під гарячу руку можуть потрапити й потрібні листи), сьогодні він став одним з основних рознощиків вірусів та інших небезпек. Пропустити таку судову платформу для розповсюдження своїх дітищ кіберзлочинці не могли — спам проникає в усі поштові скриньки, а багато які користувачі досі клацають по посиланнях, що обіцяють їм безкоштовні порнокартинки, цим запускаючи на своїх ПК троянські програми.

Одним із перших та найяскравіших прикладів такого зрощення «чорних» технологій є черв’як Sobig.c. Відомо, що мережні черв’яки, на відміну від інших шкідливих програм, мають функції автоматичного розповсюдження (доставка заражених листів, атака P2P-мереж, локальних мереж тощо). Однак у ситуації з «Sobig.c» — це перший випадок, коли ці функції було додатково «збагачено» масовою розсилкою із застосуванням спам-технології. Таким чином, було досягнуто максимально повне покриття користувачів Інтернету, унаслідок чого родина черв’яків «Sobig» миттєво посіла перше місце у списку найпоширеніших шкідливих програм.

Тепер спамерські розсилки активно використовуються вірусостворювачами для розповсюдження шкідливого ПЗ. Яскравий приклад — це «вірус-шантажист» Gpcode, що викликав епідемію в російському сегменті Інтернету. Ця шкідлива програма послідовно обходила всі каталоги комп’ютера та шифрувала за особливим алгоритмом усі знайдені файли документів різних форматів (TXT, XLS, RAR, DOC, HTML, PDF тощо), а також поштові бази даних. У кожному каталозі із зашифрованими файлами з’являвся файл readme.txt, у якому зловмисник зазначав адресу електронної пошти для зв’язку з ним, обіцяючи за винагороду розшифрувати документи.

Виявилось, що для розповсюдження Gpcode спочатку використовувалася спам-розсилка на кілька тисяч адрес електронної пошти, яка відбувалася протягом декількох днів. Докладніше про Gpcode можна прочитати на сайті http://www.viruslist.com/ru/analysis?pubid=188790045 . Приклад цього вірусу переконливо доводить, що зрощенню спамерських та вірусних технологій потрібно протиставити комплексні рішення захисту, який включає захист від спаму.

Раніше основною шкодою від спаму був час, витрачений на прочитання спамерського листа. На жаль, ситуація кардинально змінилася. І справа не лише у використанні спамерських технологій для розповсюдження вірусів, не менш серйозною загрозою є фішинг.

Фішинг (phishing) — вид інтернет-шахрайства, що полягає у крадіжці конфіденційної інформації, як правило, фінансового характеру. Фішинг-повідомлення, що надходять зі спамом, складаються так, щоб бути максимально схожими на інформаційні листи від банківських структур або компаній відомих брендів. Листи містять посилання на свідомо помилковий сайт, спеціально підготовлений зловмисниками, що є копією сайта організації, від імені якої нібито надійшов лист. На цьому сайті користувачу пропонується ввести, наприклад, номер своєї кредитної картки та іншу конфіденційну інформацію. Після введення він отримує повідомлення про помилку та переадресацію на справжній сайт, де він наново введе свої дані та отримає доступ до потрібної інформації. У такий спосіб створюється ілюзія того, що все гаразд, а повторне введення даних було спричинене звичайним незначним збоєм. Насправді введені дані надсилаються зловмиснику. Крім того, посилання на фішингові сайти можуть надходити від спам-ботів через системи миттєвого обміну повідомленнями — ICQ, QIP тощо.

Для розсилання фішингових листів зловмисники активно використовують багатий багаторічний досвід спамерів, але наявність у засобах захисту антиспамерських механізмів дозволяє боротися з фішерами. Крім того, у комплексах Internet Security існує можливість блокувати перехід користувача за фішинговими посиланнями незалежно від того, звідки він здійснюється — з ICQ-повідомлення, браузера чи листа. Крім того, деякі сучасні рішення просто не допускають на комп’ютер повідомлення або листи, що містять у собі фішингові посилання.

 

Он-лайн ігри, соціальні мережі та ботнети

На завершення опису актуальних у минулому 2009 році (на думку експертів порталу

www.viruslist.ru ) інтернет-загроз варто згадати про ботнети, соціальні мережі та мережні ігри. Звичайно, самі по собі останні не становлять ніякої загрози, але, як і у випадку зі спамом, кіберзлочинці, усвідомивши їх популярність, звернули на них свою найпильнішу увагу.

Торгівля різними віртуальними ігровими предметами (зброєю, амулетами тощо) вже давно стала дуже популярною, люди хочуть грати й отримувати від гри задоволення, а не витрачати багато часу на «прокачування» персонажа до рівня, що дозволяє брати участь у найзахопливіших пригодах. Оборот цієї торгівлі досяг такого розміру, що нею зацікавилися мережні злочинці — сьогодні існує величезна кількість троянських програм, створених для того, щоб красти у користувачів логіни та паролі он-лайн ігор. За допомогою цих даних зловмисники дістають доступ до всього майна гравця, яке згодом продають на мережних аукціонах. Практикується й шантаж користувачів, яким пропонується викупити вкрадені дані.

У найпопулярніших соціальних мережах налічується кілька мільйонів осіб, адже так приємно знайти старих друзів, однокласників, товаришів по службі та мати можливість поспілкуватися з ними. На жаль, кіберзлочинці добралися й до цих людей. Мало хто підозрюватиме каверзу, якщо знайомий надсилає тобі повідомлення з посиланням на щось цікаве, мало хто не перейде за цим лінком — саме на цьому й зіграли вірусостворювачі, улаштувавши кілька великих епідемій в «Одноклассниках», «ВКонтакте» і деяких інших мережах. Троянська програма крала у користувачів пароль доступу і розсилала всім його друзям повідомлення з посиланням на заражений ресурс. На жаль, така схема мала великий успіх. Крім того, у спамі трапляється багато листів, що імітують повідомлення соціальної мережі про нове повідомлення. Звичайно, переходячи за посиланням з листа (яке дуже схоже на справжнє, наприклад

www.odnoklaSniki.ru або www.vkAntakte.ru), користувач заражає свій комп’ютер будь-яким шкідником.

Якщо комп’ютер інфікований, то зловмисник може отримати над ним повний контроль. І якщо раніше ця можливість використовувалася хакерами для різних жартів (відкриття й закриття оптичного приводу, виведення на екран різних написів тощо), то сьогодні заражені ПК об’єднуються в зомбі-мережу (ботнет), що приносить своїм господарям чималі гроші. Робочі станції ботнету використовуються для розсилання спаму, організації атак на різні сервери, розповсюдження вірусів тощо. Деякі зомбі-мережі складаються із сотень тисяч захоплених ПК. Чим користувачу загрожує потрапляння його машини в таку мережу? По-перше, комп’ютер працюватиме повільніше, по-друге, істотно збільшиться вихідний трафік, що неодмінно приверне увагу провайдера і може закінчиться відключенням від мережі (у кращому разі), а в гіршому — візитом працівників відповідних органів, які розслідують справу про черговий комп’ютерний злочин.

Коли писалися антивіруси, про такі загрози навіть не підозрювали, тому вони не можуть з ними ефективно боротися. Зате комплексні рішення можуть: модулі антиспаму блокують сміттєву пошту, а захист від фішингу не дозволяє переходити за шахрайськими посиланнями; мережні екрани, на основі аналізу трафіка, можуть виявити і блокувати шкідливу програму, а системи проактивного захисту впораються навіть із невідомим, щойно написаним вірусом, якого ще немає в базах сигнатур.

 

Навіщо ж інтегрований захист?

Як ми вже зазначали, для захисту від сучасних загроз потрібен цілий комплекс засобів і лише їх спільне використання може забезпечити прийнятний рівень захисту.

У користувачів є вибір: використовувати набір окремих компонентів захисту від різних вендорів або придбавати комплексний захист.

У першого варіанта є свої переваги: як правило, спеціалізовані рішення добре справляються зі своїм вузьким фронтом робіт. Але постає проблема стикування цих «вузьких» рішень: при їх спільному використанні в захисті можуть залишатися прогалини або, навпаки, їх функції дублюватимуться, що призведе до конфліктів. Така ситуація часто виникає при спільному використанні антивірусів з елементами IDS та міжмережних екранів від різних виробників.

Крім того, декілька рішень для захисту з різним інтерфейсом та логікою роботи складніше настроїти, вони вимагають більше системних ресурсів. Це критично навіть для домашніх користувачів, а вже для системних адміністраторів компаній проблема управління всім цим «зоопарком» стає часом невирішуваною.

Комплексні інтегровані рішення позбавлені всіх перелічених недоліків, вони:

— володіють єдиною логікою роботи і забезпечують відсутність конфліктів між компонентами захисту;

— забезпечують багаторівневий захист, здатний відстежити шкідливу активність на різних етапах життєвого циклу загрози;

— вимагають менше системних ресурсів та ними легко управляти.

 

Уже сьогодні можна сказати, що минулий 2009 рік не став роком зменшення загроз інформаційній безпеці. А в новому 2010 році на нас чекають як старі проблеми (віруси, спам тощо), які з часом еволюціонують і стають дедалі небезпечнішими, так і відносно нові загрози (наприклад, атаки на мобільні пристрої), що істотно зростуть як в якісному, так і в кількісному плані. Тому комплексне захисне рішення — це нагальна необхідність. А для підстраховування його можна доповнити й безкоштовною спеціалізованою утилітою.

App
Завантажуйте наш мобільний додаток Factor

© Factor.Media, 1995 -
Всі права захищені

Використання матеріалів без узгодження з редакцією заборонено

Ознайомитись з договором-офертою

Приєднуйтесь
Адреса
м. Харків, 61002, вул. Сумська, 106а
Ми приймаємо
ic-privat ic-visa ic-visa

Ми використовуємо cookie-файли, щоб зробити сайт максимально зручним для вас та аналізувати використання наших продуктів та послуг, щоб збільшити якість рекламних та маркетингових активностей. Дізнатися більше про те, як ми використовуємо ці файли можна тут.

Дякуємо, що читаєте нас Увійдіть і читайте далі