| ||||||||||||||||
 | ||||||||||||||||
| ||||||||||||||||
 | ||||||||||||||||
| ||||||||||||||||
|
|
Наша почта и опасна, и вредна Вы никогда не задумывались над тем, почему так эффективны почтовые вирусы? Социальный инжиниринг, доверчивость и неосведомленность пользователей — все это правда. Но присмотритесь к своей системе повнимательней… Эпидемии почтовых вирусов терроризируют интернет-сообщество уже более трех лет. В марте 1999 г. Melissa произвела фурор в средствах массовой информации. В мае 2000 г. мир следил за триумфом «I love you». С весны этого года на вершине хит-парада находится Magistr, вобравший в себя разрушительный опыт многих своих предшественников. А ведь были еще тысячи всевозможных подражаний и переделок, вызывавших заражения локального масштаба. Недавно заявивший о себе червь I-Worm.Sircam (или W32.Sircam) выполнил для меня маленькое социологическое исследование. Что ни говори, а приятно получить подтверждение тому, что тебя читают и хранят твои координаты в адресной книге (и даже в нескольких экземплярах). Пламенный привет господам из Прибалтики, там мой рейтинг особенно высок! Удручает только то, что, несмотря на периодически исходящие от борцов с вирусной напастью заявления о новых «успешных» технологиях борьбы с почтовой заразой, подобные «исследования» будут происходить все чаще. Все больше шансов из «толстого файла на ремне» подцепить какую-нибудь гадость. Причина в том, что почтовые вирусы на платформе Windows используют не столько ошибки или дыры, как это следует из опыта других операционных систем (ОС). предоставила несколько легальных механизмов, которыми могут воспользоваться вирусописатели для разработки алгоритма размножения посредством e-mail. Самый сложный в техническом отношении — включение в состав червя собственного SMTP-модуля. В этом случае червь сам себе голова. Независимо от почтового клиента он сам и провайдера подыщет, и письмецо отправит, и примет ответ, если, конечно, понадобится. Другой способ — (Messaging Application Programming Interface), прикладным интерфейсом для введения почтовых функций в различные приложения. Никаких ограничений на доступ к нему не предусмотрено, плюс к тому обеспечивается взаимодействие с имеющимся почтовым клиентом. Этот метод тоже для квалифицированных программистов. Самым же простым и одновременно крайне эффективным вариантом будет использование -интерфейса почтовых клиентов в скриптах (VBS-вирусы). Для экзотики можно поручить отправку почты какой-либо COM-продвинутой программе (например, Word'у) — пусть при поимке сам и отдувается (подробнее об этой технологии «исполнителя желаний» см. ). Повторюсь, все эти способы абсолютно легальны. Есть, конечно, и дыры, как это было с KakWorm или произошло намедни с IIS, но в большинстве случаев не нужно рыться в исходных кодах, выискивая какие-либо люки или промахи. Изучайте , читайте серию работ (Andrew Clinick – руководитель проектов в Microsoft Script Technology group) в — там все изложено. И не бойтесь, что со сменой версии Windows ваше творение постигнет участь динозавров – совместимость обеспечит ему «многие лета». А злые языки еще смеют болтать, что Microsoft что-то скрывает?! Ситуация выходит из-под контроля гораздо быстрее, чем кажется экспертам по безопасности. При подготовке весной я сослался на конца 2000-го года: «В 2001 году получение вируса по e-mail гарантировано каждому». За весь период 1998–2000 мы получили на служебный адрес два вируса в doc-файлах. За первое полугодие 2001 г. туда пришло уже три червя. Публичный ящик страдал гораздо чаще, а последнюю неделю июля я просто лопатой выгребаю из него Sircam. «Гарантировано каждому и неоднократно». Реакцию властей стран-флагманов прогресса на вирусный беспредел можно охарактеризовать только медицинскими терминами. Пока со своим сайтом петляет, как заяц, по виртуальному пространству, прячась от нашествия «Code Red», парни из , прозомбированные голливудскими рецептами борьбы с «русской мафией», вместо того, чтобы поставить здоровенный клистир бракоделам из Редмонда, пытаются соорудить из своих значков фиговый листок, прикрывающий срам другого столпа американской экономики (как-никак «джентельмены» платят за свое виски). Хакинг — это плохо. А туфтинг — хорошо? Вы когда-нибудь слышали, чтобы производитель сейфов судился со взломщиками? Что может быть лучшей антирекламой? Adobe, что, спешит упредить иски от потребителей на недоброкачественную продукцию? Так политика лицензирования программного обеспечения обеспечивает полную безответственность его производителей. Или, может, они таким образом просто пытаются оградить сокращающийся американский рынок IT-специалистов от пришельцев? Ну и флаг им в руки, вот только все же что нам делать с почтовой заразой? Для начала послушаемся сертифицированных специалистов и установим антивирус, не забывая о регулярном его обновлении. Но этого «маловато будет». Антивирусные программы действуют по принципу сторожевой части иммунной системы организма: обнаруживают и убивают известную болезнь, а новую пропускают. «Интеллектуальные» добавки для распознавания неизвестных вирусов до интеллекта еще не доросли, а ложный крик «Волки!» в конце концов заканчивается драмой. Поэтому, даже находясь в администрируемой локальной сети, установим персональный межсетевой экран (firewall). В нем укажем исчерпывающий список программ и доступных им портов и сервисов. И как только чересчур самостоятельный посторонний код попытается отправить почту, он тут же попадется, а главное, зараза не распространится с вашего компьютера дальше.  Рис. 1. Часть настроек AtGuard Вот, к примеру, вариант настроек (рис. 1). Почтовому клиенту Outlook Express (OE) разрешен доступ к сервисам POP3 (порт 110) для приема и SMTP (порт 25) для передачи и только со строго определенного IP адреса. Строчкой выше определено правило, запрещающее OE доступ к прокси-серверу локальной сети, чтобы при получении писем в HTML-формате не докачивался всякий рекламный мусор. Правило это создано только для того, чтобы log-файл AtGuard'а не загромождался ненужными мне предупреждениями. Внизу показаны правила для работы OE с free-почтой (, ), но в примере они отключены, и работать с Web-почтой нельзя. Теперь обратимся к почтовой программе. Запретим ей сразу отправлять сообщения (в OE меню Сервис—>Параметры, вкладка «Отправка сообщений»). В этом режиме посылаемые письма накапливаются в папке «Исходящие» и отправляются по команде «Доставить почту». Есть шанс, что рассылаемая через почтовый клиент зараза застрянет в «Исходящих». Конечно, вирусы все больше «умнеют» и наверняка будут пытаться снять эти ограничения, но лишние ловушки не помешают. Для облегчения работы почтовый клиент предлагает запомнить пароль подключения к e-mail. Чтобы предотвратить несанкционированную рассылку сообщений, от этого лучше отказаться. При работе с письмами стоит также усвоить правило — никогда не открывать вложения (attachments) из окна сообщения (рис. 2). Впрочем, вскоре Microsoft обещает запретить эту возможность для многих типов файлов.  Рис. 2. Письмо со «странными вложениями» Вначале определите тип файлов. OE показывает имена файлов с расширениями и размер вложения. Если они не помещаются в окне «Присоединить», то появляется горизонтальная полоса скроллинга. Windows допускает использование точки в длинном имени файла. Расширение определяется последней из них. Если перед расширением воткнуть пару сотен пробелов, то имя не будет помещаться в окне. Начало же может имитировать название вполне безобидного файла (рис. 2). В приведенном примере щелчок мыши по jpg-«картинке» на самом деле запустит программу с о-о-чень длинным именем (рис. 3).  Рис. 3. А вот и настоящий тип вложения И в любом случае, даже если ваш провайдер сканирует почту своей антивирусной программой, вытащите потенциально опасное вложение в любую папку и проверьте его сами. В еще одном источнике неприятностей — MS Office — лучше установить средний уровень безопасности (меню Сервис—>Макрос…—>Безопасность). В этом режиме при открытии файла с макросами будет выдано предупреждение. Если установить высокий уровень безопасности, то все макросы «из ненадежных источников» отключаются без предупреждения, но никуда ведь не деваются. Мы сами не подцепим заразу, но невольно можем ее кому-нибудь передать. Кроме того, макросы иногда используются и для дела, так что при их блокировке документ поведет себя не так, как задумывал его автор. Наконец, обзаведемся хотя бы простеньким визуализатором трафика. Вот (рис. 4). Красный — вход (download), зеленый — выход (upload). Желтый — наложение обоих процессов. Если вы ничего не пересылаете, а устойчивая зеленая полоса все же ползет — бегом отключайтесь от сети и проверяйте, .  Рис. 4. Визуализация сетевого трафика Итого? Бушующая глобальная эпидемия почтовых вирусов полностью лежит на совести верховных радетелей авторского права на интеллектуальную собственность. Может, надо было все-таки сначала закончить Гарвард или действительно «нанимать на работу умных людей», способных хотя бы учесть ? Непрерывная антихакерская истерика подтверждает, что нам и дальше будут подсовывать туфту, которая неспособна обеспечить безопасную работу даже дяди Сэма. Если он этого не понимает, то пусть сменит задачки в своих IQ-тестах. А мы сменим платформу? |
|
|
| ||||||||||||||||
| ||||||||||||||||
| ||||||||||||||||
|