Защити свой компьютер на 100% от вирусов и хакеров - [41]
Возможные варианты противодействия:
♦ настроить BIOS на загрузку только с винчестера;
♦ установить пароль на BIOS;
♦ опечатать системный блок.
Другой вариант взлома, когда целью взломщика является установить тотальный контроль над системой (чаще всего конечной целью такого контроля является получение паролей).
Как он будет действовать? Вероятно, следующим образом.
1. Повысит свои привилегии в системе путем взлома учетной записи с правами администратора:
1) используя пустой пароль для учетной записи Администратор;
2) подсмотрев пароль;
3) применив специальное программное обеспечение вроде PWSEX; несмотря на весьма странное название, данная утилита позволяет восстановить большинство паролей всего за несколько секунд (рис. 3.4);
Рис. 3.4. Proactive Windows Security Explorer в действии
ПРИМЕЧАНИЕ
Стоит обратить особое внимание читателя на то, что утилиты вроде описанной для своей работы уже требуют прав администратора. "Так в чем же тогда суть взлома?" – спросят многие из читателей. А в том, что взломщиком может оказаться доверенное лицо, просто на пять минут получившее доступ в систему с учетной записью администратора, но, разумеется, не знающее пароль.
4) использовав специальное ПО для повышения локальных привилегий в системе.
2. Установит троянского коня (наиболее широкое понятие шпионского ПО), бэкдор (утилита удаленного администрирования) или клавиатурного шпиона (программа, перехватывающая ввод данных с клавиатуры).
Возможные варианты противодействия:
♦ регулярное обновление системы (заплатки всегда доступны на официальном сайте Microsoft);
♦ повседневная работа в системе с правами пользователя;
♦ установка (если не установлено) пароля на учетную запись Администратор;
♦ использование стойких паролей (не менее восьми символов из букв, цифр и специальных символов);
♦ удаление из системы неиспользуемых учетных записей, таких, например, как HelpAssistant и NetShowServices (Пуск ► Панель управления ► Администрирование ► Управление компьютером ► Локальные пользователи и группы ► Пользователи);
♦ ревизия локальных политик безопасности (в том числе контроль ветвей реестра, ответственных за автозагрузку);
♦ включение DEP (выполнение команды Мой компьютер ► Свойства ► Дополнительно ► Быстродействие ► Параметры ► Предотвращение выполнения данных);
♦ использование хорошей антивирусной программы с новыми базами.
Теперь рассмотрим третий вариант вторжения– вторжение из сети. Как будет действовать взломщик в подобном случае и какие инструменты взлома попытается применить? Варианты следующие.
1. Установит в систему троянского коня следующим образом.
1) Отправив вам на электронный ящик (или через ICQ) письмо с прикрепленным файлом – картинкой, – замаскированным троянским конем.
2) Все через ту же электронную почту (или другим способом, например на форуме) скомпрометирует пользователя перейти по некоторой ссылке, ведущей на сфабрикованную подставную страницу, содержащую злонамеренный JavaScript-код. В результате через уязвимости браузера троянский конь "зальется" в систему.
2. Получит удаленный доступ, использовав специальное ПО для повышения привилегий в системе.
ПРИМЕЧАНИЕ
В обоих перечисленных случаях вторжения через сеть для последующего контроля системы-жертвы взломщику понадобится как минимум знать ее IP-адрес. В случае подключения к Интернету с использованием динамических IP (выдаваемый пользователю каждый раз новый IP) взломщик должен будет узнать (как правило) ваш IP на текущий момент подключения. Как? Просто. В момент подключения к Интернету троянский конь отправляет на электронный почтовый ящик взломщика письмо, содержащее ваш IP.
3. Проникнет в систему, используя бреши в настройках безопасности (например, подключение через telnet).
Варианты возможной защиты:
♦ опять же, работа в системе без прав администратора;
♦ последняя версия антивирусной программы (подробно вопрос выбора антивируса рассмотрен в гл. 4) со свежими базами;
♦ установка хорошего межсетевого экрана (для нужд домашнего ПК можно рекомендовать Zone Alarm);
♦ ревизия политик безопасности (отключение общедоступных дисков C$, D$, неиспользуемых сервисов и т. д.).
Вышеперечисленные возможные варианты атак ни в коем случае не претендуют на исчерпывающее руководство, а приведены лишь как примеры, отражающие суть.
Следует отметить, что предварительным этапом практически любой атаки является сканирование портов. Сканирование портов проводится, чтобы узнать, какие из служб или сетевых сервисов установлены в системе и могут быть использованы для атаки.
Как пример – уже упоминавшийся в первой главе XSpider – отечественный сетевой сканер безопасности, который на сегодняшний день можно считать лучшим в своем классе. Резонно заметить, что отчет о сканировании XSpider включает в себя не только список открытых портов, но и подробное описание того, как устранить ту или иную обнаруженную брешь.
Приведенные выше возможные варианты реализуемы в большей своей части на рабочем ПК простого пользователя и подразумевают взлом, в случае если:
♦ есть физический доступ к машине;
♦ машина пользователя доступна по локальной сети (для получения более подробной информации про варианты взлома и защиты в локальной сети см. гл. 6).
