Мониторы: классификация и характеристики. Требования, предъявляемые к мониторам

Троянской называется любая программа, которая втайне от пользователя выполняет какие-то нежелательные для него действия. Эти действия могут принимать любую форму - от определения регистрационных номеров программного обеспечения, установленного на компьютере, до составления списка каталогов на его жестком диске. Троянец может маскироваться под текстовый редактор, или под сетевую утилиту, или под любую из программ, которую пользователь пожелает установить на свой компьютер.

Название "троянская программа" происходит от названия "троянский  конь" - деревянный конь, по легенде, подаренный древними греками жителям Трои, внутри которого прятались воины, в последствии открывшие завоевателям ворота города. Такое название, прежде всего, отражает скрытность и потенциальную коварность истинных замыслов разработчика программы.

Троянская программа предназначена  для нанесения вреда пользователю или делающая возможным несанкционированное  использование компьютера другим лицом  для выполнения всевозможных задач, включая нанесение вреда третьим  лицам.

Троянская программа (троянец, троянский конь) это: программа, которая, являясь частью другой программы с известными пользователю функциями, способна втайне от него выполнять некоторые дополнительные действия с целью причинения ему определенною ущерба; программа с известными ее пользователю функциями, в которую были внесены изменения с тем, чтобы, помимо этих функций, она могла втайне от него выполнять некоторые другие действия с целью причинения ему определенного ущерба; программа, которая, помимо полезных и нужных функций, втайне от пользователя выполняет некоторые другие действия с целью причинения ему определенного ущерба. Эксперты в сфере компьютерной безопасности отмечают резкое увеличение случаев использования троянских программ в промышленном шпионаже. Подобно вирусам и почтовым "червям", шпионское программное обеспечение стало еще одной проблемой крупных компаний. Значительный потенциал троянских программ в области промышленного шпионажа представляет существенную угрозу для организаций.

Обнаружить факт промышленного шпионажа, проводимого с помощью шпионского программного обеспечения, очень непросто. Пораженные компании могут долго оставаться в неведении, а, обнаружив шпионские программы, - скрывать факт заражения. Хотя шпионское программное обеспечение можно обнаружить с помощью ряда имеющихся в продаже программных пакетов, сложно понять, установлена ли отдельно взятая следящая программа с целью промышленного шпионажа.  Процесс поиска программ-шпионов осложняется еще и тем, что злоумышленники научились обходить методы сканирования, применяемые для их обнаружения. Это означает, что для противодействия атакам теперь приходится применять многоуровневые системы защиты. Однако также весьма вероятен шпионаж изнутри. Уже известен ряд случаев, когда компьютеры компаний заражались злонамеренными сотрудниками, шпионящими за руководством или крадущими важную информацию в пользу конкурентов. В настоящее время троянские программы написаны для всех без исключения операционных систем и для любых платформ. Способ распространения тот же, что у компьютерных вирусов. Поэтому самыми подозрительными на предмет присутствия в них троянцев, в первую очередь, являются бесплатные и условно-бесплатные программы, скачанные из Internet, а также программное обеспечение, распространяемое на пиратских компакт-дисках.

Целью троянской программы  может быть: Создание помех работе пользователя (в шутку или для достижения других целей) похищение данных представляющих ценность или тайну в том числе: информации для аутентификации, для несанкционированного доступа к ресурсам (в том числе третьих систем), криптографической информации (для шифрования и цифровой

подписи) в том числе, сбор этой информации; вандализм - уничтожение данных и оборудования, выведения из строя или отказа обслуживания компьютерных систем, сетей и т.п., превращение компьютера в "зомби", для выполнение заранее заданных действий (с возможным обновлением списка оных), например рассылки спама, прямого управления компьютером, получения несанкционированного (и/или дарового) доступа к ресурсам самого компьютера или третьим ресурсам, доступным через него, использования вычислительного ресурса компьютера, в том числе для достижения вышеописанных целей, в том числе в составе ботнета (организованной группы зомбированных компьютеров). Большинство троянов состоят из двух частей. Клиента и Сервера. Правда, есть исключения. Обычно, на компьютере жертве посылается серверная часть трояна, которая открывает для атакуемого любой порт, и ждет поступления команды от своей клиентской части. Для установления связи обычно используется протокол TCP/IP, но известны трояны, которые используют и другие протоколы связи. Большинство троянов для запуска серверной части на компьютере жертвы используют различные методы, позволяющие им запускаться автоматически при каждом включении компьютера. Список различных мест, позволяющих троянам автоматически запустить свое серверное приложение на компьютере жертвы. Папка Startup Любое помещенное в нее приложение будет выполнятся автоматически как только произойдет полная загрузка Windows. Файл win. ini Для запуска используется конструкции типа load=Trojan. exe или run=Trojan. Exe. Файл system. ini Конструкция shell=explorer. exe Trojan. exe выполнит Trojan. exe каждый раз, как только запуститься explorer. exe. Файл wininit. ini этот файл используется в основном программами установки, для выполнения некоторого кода при установке приложений. Обычно удаляется. Но может использоваться троянами для автоматического запуска. Файл winstart. bat Обычный bat файл, используемый windows для запуска приложений. Настраивается пользователем. Трояны используют строку для запуска @Trojan. exe, что бы скрыть свой запуск от глаз пользователя. Файл config. Sys Explorer Startup Данный метод

используется Windows 95, 98, ME для запуска explorer. И если будет существовать файл C: Explorer. exe, то он выполнится вместо обычного C: WindowsExplorer. exe. Ключи автозапуска Windows, используемые для запуска различных приложений и сервисов. Вот, к примеру, некоторые из них:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx

Registry_Shel_lOpen_HKEY_CLASSES_ROOTexefileshellopencommand HKEY_LOCAL_MACHINESOFTWAREClassesexefileshellopencommand

По умолчанию значение данных ключей %1″%. Туда можно поместить имя любого выполняемого файла для запуска его при открытии бинарным файлом. К примеру, вот так: trojan. exe %1″%.

Метод запуска приложений при обнаружении ICQ соединения с  Интернет Эти ключи включают в  себя все файлы, которые будут  выполнены при обнаружении ICQ соединения с Интернетом. Это удобно для запуска некоторых приложений. Но и злоумышленники могут им воспользоваться. HKEY_CURRENT_USERSOFTWAREMirabilisICQAgentApps HKEY_LOCAL_MACHINESOFTWAREMirabilisICQAgentApps Компоненты ActiveX.

KEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components Установленные в системе компоненты ActiveX.

Троян, маскируясь под  компонент, добивается своего запуска  при каждой инициализации Windows. Все  эти методы в принципе уже хорошо изучены и, успешно применяются  для борьбы с троянами.

Методы защиты от троянских программ

 

На сегодняшний день существует достаточно большая статистика угроз операционным системам, направленных на преодоление встроенных в операционную систему механизмов защиты, позволяющих  изменить настройки механизмов безопасности, обойти разграничения доступа и т.д. Таким образом, статистика фактов несанкционированного доступа к информации показывает, что большинство распространённых операционных систем довольно уязвимы с точки зрения безопасности. На практике современные операционные системы, предназначенные для обработки конфиденциальной информации, строятся уже с учётом дополнительных мер безопасности. Исходя из этого защита от троянских программ должна быть комплексной, то есть включать средства, встроенные в операционную систему (встроенный брандмауэр), антивирусную программу и внешний брандмауэр. Настройка встроенного брандмауэра Windows

Брандмауэр Windows по умолчанию  включен, некоторыми возможностями  ряда программ можно будет воспользоваться  только после включения программы  в список на вкладке Исключения брандмауэра Windows.

Доступ к настройкам брандмауэра Windows XP Service Pack 2 можно получить при помощи Пуск - Панель управления - брандмауэр Windows. В этом окне можно включить или выключить брандмауэр для всех соединений с сетью. Пункт Не разрешать исключения активизирует режим работы брандмауэр, при котором брандмауэр не выводит на экран оповещений о блокировке и отключает список исключений, который можно задать на следующей вкладке окна управления брандмауэр (См. рис.1).

 

 

 

 

Рис.1Список исключений брандмауэра Windows

 

 

 

Рис.2 Список исключений брандмауэра Windows

Брандмауэр разрешает  входящие подключения для приложений, перечисленных в этом списке, если они отмечены флажком. Можно разрешить  входящие подключения на определенный локальный порт, создав соответствующее правило. На следующей вкладке окна настроек брандмауэр собраны дополнительные настройки.

 

Рис.3. Дополнительные настройки брандмауэра Windows

Доступ к дополнительным настройкам брандмауэра можно получить на вкладке Дополнительно главного окна настройки брандмауэра (рис.4).

Параметры сетевого подключения - здесь перечислены все сетевые  подключения, которые существуют на компьютере под защитой встроенного  брандмауэра. Путем установки или  снятия флажка напротив каждого из подключений можно включить или выключить брандмауэра для каждого из подключений. При помощи кнопки Параметры можно настроить параметры работы брандмауэра для каждого из подключений, если используется общий доступ к этому подключению. Ведение журнала безопасности - при помощи кнопки Параметры можно настроить протоколирование событий, происходящих во время работы брандмауэра в журнале работы. Протокол ICMP - позволяет настроить фильтрацию брандмауэра сообщений, которыми

 

обмениваются по протоколу ICMP. В частности, можно запретить или разрешить отклик компьютера на команду ping.

Параметры по умолчанию - нажатие кнопки. По умолчанию возвращает все настройки брандмауэра к  исходным. Для данного брандмауэра характерен высокий уровень зашиты, так как сам брандмауэр включен и все исключения запрещены. Встроенный в Windows XP SP2 файрвол достаточно надежен, но контролирует лишь входящие соединения, оставляя без внимания исходящие. Поэтому при использовании для защиты компьютера встроенного файрвола нужно быть очень внимательным при открытии файлов, полученных из сети. Вирус или шпионское программное обеспечение сможет без проблем отправить данные на сервер разработчика и пресечь его работу встроенный фаервол не сможет. Изложенные выше рекомендации не являются исчерпывающим материалом по настройке безопасности операционной системы Windows XP Professional. Компьютер не будет откликаться на запросы о его существовании.

Гибкость в настройке  фильтров позволяет указывать для  конкретных приложений направление  трафика (только отправлять данные в сеть, только получать, и отправлять и получать, запретить все).

Файрвол может блокировать  рекламу, всплывающие окна, фильтровать  содержимое посещаемых веб-страниц, запрещать  доступ к сайтам, на которых встречаются  определенные слова, что позволит оградить детей от просмотра порнографии или других нежелательных материалов. Можно ограничивать или запрещать действия активных элементов в составе web-страниц, таких как Java-апплеты, ActiveX и Java-скрипты, которые могут использоваться для получения доступа к данным, хранящимся на компьютере или заражения его вирусами.

файрвол может блокировать cookies, которые многие сайты оставляют  на компьютере с целью отследить  перемещения пользователя в сети. Предусмотрена блокировка почтовых вложений с целью защиты компьютера от заражения червями (черви - саморазмножающиеся, самораспространяющиеся вирусы). Outpost Firewall следит за сетевой активностью, и в случае

 

обнаружения начала атаки на компьютер выдает предупреждающее сообщение, блокируя трафик файрвол кэширует (сохраняет в своей базе) имена и IP-адреса посещенных сайтов, что позволяет при повторном их посещении избежать обращения к DNS-серверу провайдера. Это несколько ускоряет открытие посещенных ранее страниц. Модульная структура программы позволяет добавлять новые модули, которые увеличивают возможности файрвола.

Outpost ведет журнал событий,  куда сохраняются все события,  происходившие во время работы.

Во время установки  система запросит выбрать уровень  безопасности

В нашем случае мы выбираем Обычный уровень

Рис.5. Выбор уровня безопасности фаервола Outpost

 

Далее нам необходимо определить, в каком из режимов  будет работать наш фаервол:

1) в режиме автоматического  (интеллектуального) создания правил  для приложений

2) в режиме заранее  подготовленных правил для приложений

В нашем случае мы выбрали  автоматическое назначение правил (рис.6)

Рис. 6 Способ создания правил фаервола Outpost

Далее система автоматически  выполняет, некоторые настройки  программы.

После того, как программа  установки закончит автонастройку, перезагружаем компьютер. После перезагрузки компьютера, программа выполняет сканирование системы (рис.7).

Рис.8 Фаервол Outpost сканирует  систему

 

Теперь рассмотрим основные пункты интерфейса программы.

Рис.9 Главное меню фаервола Outpost

1 - Сетевая активность.

Рис.10 Модуль "Сетевая  активность" фаервола Outpost

В данном разделе можно  увидеть активные соединения. (Имя  процесса, Протокол, Локальный и  удаленный адреса, порт и правила, которые действуют на данный тип  соединения).

2 - Открытые порты.

Рис.11 модуль "Открытые порты" фаервола Outpost

В этом разделе мы видим  порты которые открыты в нашей  системе. Так же здесь отображаются правила, которые действуют на указанные  порты.

3 - Anti-spyware. Защита от spyware. Spyware (или шпионское программное обеспечение) является растущей проблемой, затрагивающей множество пользователей персональных компьютеров. Все чаще пользователи подвергаются атакам вредоносных программ (как правило, не зная об этом), которые собирают информацию о статистике посещений веб-страниц, установленных на компьютере приложениях и другие личные данные, которые затем отсылаются третьей стороне, spyware отслеживает действия пользователя без его на то согласия. Spyware могут изменять тексты почтовых сообщений, модифицировать содержимое файлов на жестком диске, показывать назойливые рекламные объявления, менять адрес домашней страницы вашего браузера. И, наконец, если всего вышеперечисленного оказалось недостаточно, резидентное spyware отнимает значительное количество системных ресурсов, иногда существенно снижая скорость работы вашего компьютера.