(По материалам компании Microsoft) 

«Время бесценно. Жизнь слишком коротка, чтобы беспокоиться о компьютерах». Мы согласны. Но чтобы иметь представление о существующих угрозах и понимать, как им противостоять, необходимо вникнуть в некоторые технические детали. Не волнуйтесь, мы постараемся свести их к минимуму.

Сети, объединенные сети, Интернет
Компьютер сам по себе замечателен, это настоящее техническое чудо. Однако хочется также использовать возможность взаимодействия компьютеров. Соединив между собой два или более компьютеров с помощью сетевых плат и кабелей (либо беспроводных средств связи), мы получим локальную сеть (ЛВС). Все компьютеры, подключенные к сети, могут обмениваться данными и электронной почтой, а также осуществлять доступ к общим ресурсам, таким как принтеры, модемы и высокоскоростные подключения к Интернету. Объединение двух или более ЛВС позволяет получить глобальную сеть (ГВС). Например, можно связать между собой два удаленных друг от друга офиса с помощью выделенной линии.

Объединенная сеть — это сеть сетей. Информация с любого компьютера в любой сети может передаваться через объединенную сеть на любой другой компьютер в любой другой сети. В данном случае объединенная сеть выполняет роль общественной линии связи. Можно представить объединенную сеть как центральную магистраль, связывающую между собой местные дорожные сети.

Интернет — это глобальная объединенная сеть. Все компьютеры, подключенные к Интернету, взаимодействуют между собой с использованием стандартных протоколов, благодаря чему информация с любого компьютера может быть доставлена на любой другой компьютер в Интернете. Здесь кроется серьезная проблема: до подключения к публичной сети компьютер достаточно надежно защищен от внешних угроз. Подключение к общедоступному Интернету аналогично публикации собственного имени, адреса и номера телефона и предоставления более легкого доступа к своему компьютеру.

Пакеты
Данные по сети обычно передаются в виде пакетов. Пакет представляет собой фрагмент данных с адресом, а также другими сведениями, необходимыми для доставки данных получателю. Вся информация, передаваемая через Интернет, разбита на пакеты: веб-страницы, электронная почта, загружаемые файлы и т. д. Можно сравнить это с бродячим цирком. Все животные и аттракционы не поместятся в одну повозку. Необходимо разбить цирк на части, разместить в нескольких повозках и указать каждому вознице маршрут. А затем, по прибытии в город, нужно опять собрать все вместе. Как повозки, движущиеся по дороге, пакеты используют общие физические соединения и перемещаются потоками. При передаче через Интернет пакеты могут быть перехвачены посторонними лицами.

Порты и адреса
Каждому компьютеру в сети назначается уникальный номер, называемый IP-адресом. Он однозначно определяет компьютер в сети и содержит указания по доставке пакетов. IP-адреса во многом похожи на почтовые адреса. Одна часть адреса определяет сегмент сети, в котором находится целевой компьютер, а другая — сам этот компьютер.

С помощью IP-адреса можно определить компьютер и сегмент сети, однако необходимо также определить конкретные приложения на компьютере. Можно сравнить это с номером кабинета, прилагающимся к почтовому адресу; почтовый адрес указывает офисное здание, а номер кабинета — конкретную комнату. IP-адрес определяет компьютер, а номер порта определяет программу, выполняемую на этом компьютере. Каждой программе на компьютере, отправляющей и получающей данные по сети, назначается специальный номер порта. Получая пакеты через определенный порт, компьютер может определить, какому приложению они были отправлены. Например, порт 80 используется веб-серверами (на них размещены веб-узлы, просматриваемые с помощью веб-обозревателя), а порт 25 применяется для отправки электронной почты. Пакеты адресуются конкретному порту по конкретному IP-адресу.

Брандмауэры
Брандмауэр блокирует передачу данных через определенные порты. Это не предотвращает использование служб на других компьютерах, но блокирует доступ к локальному компьютеру извне. Некоторые брандмауэры анализируют входящие (а иногда также исходящие) пакеты, чтобы удостовериться в их допустимости. Также брандмауэры могут отфильтровывать подозрительный трафик. Брандмауэры скрывают идентификационные данные компьютеров в сети, чтобы снизить вероятность взлома конкретных компьютеров хакерами.

Серверы
Сервер — это подключенный к сети компьютер, предназначенный для выполнения специальной функции, например для совместного использования принтера, хранения файлов или доставки веб-страниц. Следует помнить, что если переносный или настольный компьютер подключен к Интернету, он также является сервером и без брандмауэра может получать нежелательный трафик из Интернета.

Вирусы, черви, троянские кони, спам и мистификации
Электронная почта является каналом передачи миллиардов сообщений в год, причем доля нежелательной почты в этом потоке непрерывно растет. Одна фирма, занимающаяся проблемами безопасности электронной почты, проверила 413 миллионов сообщений в августе 2003 г. В трех процентах сообщений содержались вирусы, 52% оказались спамом, также во многих сообщениях были обнаружены порнографические изображения. Ниже перечислены пять основных угроз, связанных с электронной почтой:

• Вирусы  — это потенциально опасные программы с функцией саморепликации. Зачастую вирусы скрыты в безобидных программах. Вирусы, распространяемые по каналам электронной почты, часто маскируются под игры или изображения, при этом нередко используется вводящая в заблуждение тема сообщения (например, «горячие девчонки»), чтобы спровоцировать пользователя открыть файл. Вирусы выполняют саморепликацию, пытаясь заразить другие программы, установленные на компьютере.



• Черви , как и вирусы, самореплицируются, однако для этого они могут рассылать собственные копии по электронной почты, а не просто заражать другие программы на компьютере.



• Троянские кони  — это злонамеренно созданные программы, маскирующиеся под обычные приложения. Тронские кони не реплицируются, как вирусы или черви, однако они также могут нанести серьезный ущерб. Нередко вирусы и черви прячутся в троянских коней и передаются вместе с ними.



• Спамили нежелательные сообщения рекламного характера приводят к потере времени и пропускной способности. Объем спама может быть огромен, кроме того, спам зачастую используется для передачи вирусов. Значительная часть спама носит порнографический характер, что может создать неприятную ситуацию на предприятии, а также привести к судебной ответственности в том случае, если компания не предпринимает шаги по борьбе со спамом.



• Мистификации  — это сообщения электронной почты, например ложные предупреждения о вирусах, письма, передаваемые по цепочке, или неправдоподобно выгодные предложения, которые отнимают время у читателей. Письма-мистификации часто содержат вирусы и троянских коней.

Почему программное обеспечение уязвимо
Разработчики не делают свои программы уязвимыми намеренно. Для создания обычной операционной системы требуются десятки тысяч часов работы и миллионы строк программного кода. Простая ошибка или недосмотр могут стать причиной появления уязвимости в системе. При написании программного обеспечения невозможно полностью избавиться от ошибок. Конечно, это не значит, что разработчики должны перестать стремиться к этому.

Кроме того, существуют злоумышленники. Известный грабитель Уилли Саттон (Willie Sutton) однажды сказал: «Я граблю банки, потому что там лежат деньги». Это применимо и к программному обеспечению. Чем успешнее и популярнее программный продукт, тем больше вероятность того, что он подвергнется атакам злоумышленников.

Между злоумышленниками, использующими уязвимости программного обеспечения, и разработчиками, стремящимися устранить эти уязвимости, ведется непрерывная борьба. Такая же борьба ведется между конструкторами замков и взломщиками, изготовителями сигнализаций и автоугонщиками. Именно поэтому разработчики ПО выпускают обновления, устраняющие известные уязвимости, и поэтому пользователям следует устанавливать эти обновления.

Распространенные сетевые угрозы
Мотивы у злоумышленников могут быть разные — нажива, хулиганство, жажда славы, — однако все злоумышленники действуют примерно одинаково. Существует ряд основных угроз, каждая из которых может иметь бесконечное число вариаций. 

• Подделка. Существует несколько разновидностей этой угрозы. Подделка IP-адресов подразумевает создание пакетов, имеющих адрес отправителя, отличный от настоящего. Данный метод используется в основном для проведения односторонних атак (например, атак типа «отказ в обслуживании»). Если пакеты поступают от компьютера в локальной сети, они проходят мимо брандмауэра (который предназначен для защиты от внешних угроз). Атаки с подменой IP-адресов сложно выявить. Это требует знаний и средств, необходимых для отслеживания и анализа пакетов данных. Подделка сообщений электронной почты подразумевает изменение адреса в поле «От» сообщения. Например, в конце 2003 г. в сети циркулировали письма-мистификации, содержащие уведомление об официальных обновлениях системы безопасности, якобы рассылаемое корпорацией Майкрософт (злоумышленники использовали поддельный адрес электронной почты).



• Искажение. Искажением называется изменение содержимого пакетов, передаваемых через Интернет, либо изменение данных на дисках компьютеров после проникновения злоумышленника в локальную сеть. Например, злоумышленник может взломать сетевой канал для перехвата пакетов, покидающих организацию. Это позволит ему перехватывать или изменять сведения, передаваемые из локальной сети.



• Непризнание. Непризнанием называется способность пользователя отрицать факт совершения какого-либо действия, которое в действительности было им совершено. Пользователь, удаливший файл, может не признать совершение этого действия, если не существует механизма для доказательства (например, записи аудита).



• Раскрытие информации. Раскрытием информации называется предоставление информации лицам, которые в обычных условиях не имеют к ней доступа.



• Отказ в обслуживании. Атакой типа «отказ в обслуживании» называется компьютерная атака, проводимая в целях перегрузки или остановки сетевой службы, например файлового или веб-сервера. Например, атака может вызвать такую перегрузку сервера, что он перестанет обрабатывать обычные запросы на подключение. В 2003 г. были предприняты масштабные атаки типа «отказ в обслуживании» на серверы нескольких крупных корпоративных веб-узлов, включая Yahoo и Microsoft.



• Повышение привилегий. Повышением привилегий называется процесс незаконного получения полномочий путем «обмана» системы, обычно с целью последующей компрометации или разрушения этой системы. Например, злоумышленник может выполнить вход в сеть по учетной записи гостя, а затем использовать уязвимость в программном обеспечении для получения полномочий администратора.

Большинство злоумышленников используют в качестве своего оружия вычислительную мощность компьютеров. Например, с помощью вируса они могут распространить программу для атак типа «отказ в обслуживании» на сотни тысяч компьютеров. Они могут воспользоваться программой автоматического подбора пароля по словарю. Конечно, сначала они проверят варианты «password», «sezam» и т. д., а также имя пользователя, введенное в качестве пароля. Злоумышленники располагают программами, которые случайным образом проверяют IP-адреса в Интернете для обнаружения незащищенных систем. Обнаружив такую систему, злоумышленник может воспользоваться сканером портов для определения портов, открытых для атаки. Затем он попытается получить доступ к системе с помощью библиотеки известных уязвимостей. Для более изощренных атак (таких как промышленный шпионаж) максимально эффективным средством может оказаться комбинация технических средств и «социальной инженерии». Такие атаки могут включать получение конфиденциальных сведений у сотрудников, просмотр мусорных корзин в поисках нужной информации или применение паролей, написанных на бумажках, прикрепленных рядом с мониторами.

{mos_sb_discuss:5}