Информационная безопасность
Безопасность при работе в сети Интернет
В связи с частыми случаями провокаций и попытками незаконного завладения персональными данными предлагаем ознакомиться с некоторыми сведениями о принципах борьбы с такого рода явлениями.
- Следует иметь в виду, что, так как администрация не несет ответственности за сохранность Ваших персональных данных, наиболее действенной мерой защиты будет являться Ваша осведомленность о возможных причинах утечки информации.
Что такое персональные данные и почему важно соблюдать секретность при обращении с ними
Персональные данные однозначно определяют вашу персону при доступе в Интернет. Доказательством вашего права пользоваться теми или иными сервисами является проверка логина и пароля. Именно эта пара данных в общем случае и составляет ваши персональные данные. Данную пару образуют логин - Ваше открытое имя или идентификатор, и пароль - набор символов, который должен знать только владелец данного логина.
Например, ваша электронная корреспонденция является доступной только вам (персональная информация), но при условии, что пароль для вашего логина никто кроме вас не знает. Если это условие не соблюдается, конфиденциальность информации не обеспечивается. С точки зрения другого вида сервиса, который является базовым в отношениях клиента и фирмы-провайдера - доступ к сети на уровне сетевой связи протоколов TCP/IP, сохранность ваших персональных данных (логин и пароль) обеспечивает корректный расход вашего личного счета (account, аккаунт). При несоблюдении требований секретности по отношению к вашему паролю, под Вашим логином может работать некто, завладевший вашими персональными данными, и фактически крадущий ваш денежный вклад на счет.
Провокации по e-mail, world wide web (www) и традиционным средствам связи
Ваше общение с персональным компьютером предполагает значительную автоматизацию действий по обработке данных. Персональные данные не являются исключением. Не стоит стремиться к упрощению определенных шагов в ущерб требованиям безопасности.
Стандартным сценарием такого вида атаки является посылка письма на ваш адрес электронной почты. В письме имитируется обращение службы поддержки пользователей (расчетной части, абонентского отдела и т.п.) с просьбой указать ваш пароль якобы из-за технологических причин (профилактика или перенос сервера, обновление базы пользователей, технические проблемы, и т.п.). Адрес отправителя может быть подделан и при этом выглядеть верно, но надо иметь в виду, что в служебной информации электронного письма всегда можно задать отдельный адрес, по которому будет оправлен ответ.
Сценарий может частично совпадать с провокацией по e-mail. Вам приходит письмо с предложением посетить страницу с указанным адресом для проверки работы нового абонентского сервиса (или временном переносе определенных сервисных страниц, профилактике и т.п.). На указанной странице (которая может повторять фирменный стиль официального веб-сайта) вам предлагается авторизация и окна ввода логина и пароля.
Типичного сценария не существует, но основной чертой является получение ваших данных под любым предлогом, например по телефонному звонку к вам якобы из службы поддержки провайдера. Также возможны личные просьбы от знакомых о копировании определенных файлов с вашего компьютера. Чтобы избежать срабатывания подобного рода провокаций, следует знать регламент общения работников ZebraTelecom с пользователями: все письма, исходящие от лица фирмы, отсылаются с адреса support@zebra.ru. Письма не требуют ответа, а тем более сообщения вашего логина и пароля. Ваш пароль могут спросить представители технической службы лишь в случае, если вы сами позвонили в офис и обратились с просьбой решить проблемы с доступом, либо уточнить состояние вашего счета, либо сменить пароль.
Официальные веб-страницы расположены на сервере и начинаются с адреса http://www.zebra.ru/.
Другие адреса (http://come.to/zebratelecom, http://zebra.da.ru и т.п.) являются недействительными.
Стоит осторожно относиться к просьбам знакомых или коллег о копировании файлов с вашего компьютера. В ряде случаев таким образом можно получить пароль и логин владельца компьтера. При передаче файлов старайтесь ограничиться зарегестрированными типами документов.
Несанкционированный доступ к ресурсам ПК с использованием утилит удаленного администрирования (Троянская атака)
Этот вид сетевого взлома наиболее опасный, так как использует механизм заражения подобный вирусам. Программа - носитель утилиты удаленного администрирования при успешном запуске вносит в реестр Windows ссылку на файл клиентской части, вызывая ее запуск при каждом старте Windows.
Наиболее распространенными являются программы Back Orifice и NetBus.
Механизм работы троянской программы Back Orifice - программы, позволяющей злоумышленнику подключиться к удаленному компьютеру и использовать его ресурсы: Back Orifice состоит из двух частей - сервера и клиента. Также существуют утилиты, например конфигуратор сервера и подключаемые модули (plug-ins):
Сервер.
Программа, которая устанавливается на атакуемый компьютер (к ресурсам которого обеспечивается доступ) и открывает “черный вход”. Изначально сервер находится в состоянии дистрибутива, т.е. самораспавовывающегося архива, который проделывает следующие действия:
распаковывает саму программу сервера
копирует ее в директорию WINDOWS/SYSTEM
прописывает эту программу в системный реестр для автоматического запуска ее в дальнейшем при запуске системы по адресу HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
затем самоудаляется, т.е. стирает сам себя и не оставляет следов.
В активизированном (инсталированном) виде сервер открывает доступ в компьютер по заранее сконфигурированному порту с заранее сконфигурированным паролем для доступа. При входе в Интернет, компьютер открывает свои ресурсы любому компьютеру, который обращается по известному сценарию. Также сервер может запустить подключаемый модуль.
Клиент.
Существуют текстовый и графические клиенты, обеспечивающие интерфейс к серверной части на пораженном компьютере.
Заражение может произойти при запуске любых исполняемых программ-носителей, например присылаемых по почте или распространяемых под видом обновлений программ (патчей), ключей. Опасность повышает тот факт, что если на компьютере работает “троянская” программа, злоумышленнику доступны все файлы на зараженном компьютере, в том числе и файлы реестра.
Важно иметь в виду особенность объектного интерфейса Windows: в определенных условиях любой файл, независимо от его расширения может быть запущен как исполняемая программа, если он таковой является. Кроме того, следует обращать внимание на рассылаемые по почте “программы обновления” Windows и других приложений, а также самораспаковывающиеся архивы, являющиеся исполняемыми программами. Игнорируйте письма с неофициальных адресов с предложениями установить патчи или обновления программ и используйте современные антивирусные средства для снижения риска завладения вашей информацией.
Поскольку версии троянских программ постоянно обновляются, создавая мутации подобно видам вирусов гриппа, изменяясь по отдельным параметрам и настройкам при одном и том же принципе, строгого алгоритма защиты от таких программ или обнаружения их присутствия не существует, за исключением эмпирических методов.
Наиболее действенным методом является проверка содержимого ветви реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices, а также списка задач на наличие подозрительных активных программ. Их имена, пути и размеры могут отличаться от версии к версии. Также существует ряд утилит для удаления троянского сервера из системы. Наиболее известными являются Anti BackOrifice, BackOrifice Cleaner и NukeNabber. Последние версии антивирусов также содержат средства удаления троянских программ.
Определенную опасность представляет установленный протокол NetBIOS и “общий доступ к ресурсам”. Если у вас нет локальной сети, для работы необходимы только установленные “Контролер удаленного доступа” и “Протокол TCP/IP” в пункте “Сеть” Панели Управления.
