Захисти себе від вторгнення або що не треба робити

Underground InformatioN Center

У даній статті я викладу короткі принципи і способи, які дозволять вам, може і не повністю захиститися, але
хоча б дуже ускладнити процес проникнення на ваш комп'ютер зловмисникам з інтернету, хоча відразу
обмовлюся, що абсолютного захисту не існує і навряд чи коли буде існувати.

Також в даній статті будуть обговорені деякі аспекти людського фактора, часто використовуються для атак
на користувачів інтернету.

Ну що ж, почнемо з самого початку …
У деякій державі (не пам'ятаю, коли), жив був піпл на ім'я Біллі … і придумав він сито по імені Вийми,
і стало сито масовим …, от мабуть і все почало:).

З причини масовості розповсюдження даних операційних систем (я кажу про Windows9x, якщо хто не зрозумів ще)
і дуже великої кількості дірок у них, середній користувач інтернету практично не захищений від зовнішнього
впливу, але все порядку:

Windows 9x:

    
Дане сімейство операційних систем характеризується практично повною відсутністю елементарного захисту даних
користувача і нестійкістю роботи (з мого особистого досвіду випливає, що Windows 98 слід встановлювати заново
хоча б раз на місяць, інакше її крах може призвести до втрати даних).

Щодо даних ОС можна порадити наступне:
+ Встановити все update вийшли на даний момент (хоча в виправлення дір завжди є ще купа нових дір, але
вони хоча б не так широко відомі). Оновлення можна знайти тут.

+ При підключенні до інтернету (по модемному з'єднанню) прибрати всі зайві протоколи та служби, такі як
NetBios і служба мереж M $ oft, залишивши тільки ТСР / IP. Дана помилка, з наявністю локальної мережі та виділених
загальних ресурсів в мережу користувачем, може дозволити перегляд, копіювання і зміна файлів з віддаленої
машини. Також не варто забувати про включену в Windows можливості віддаленого адміністрування і
обмеженням на довжину пароля в даному сервісі у 8 символів, що в сумі з неправильно вибраним паролем
робить доступними зловмисникові всі диски даного комп'ютера для читання і запису, наприклад перебір
пароля довгою 8 символів включають в себе всю таблицю символів по мережі 10 Мб займає близько доби
без використання словника, з цього, якщо вам з якої небудь причини потрібні ці сервіси, ні в якому разі
не ставте смислової пароль і не надавайте повний доступ на загальні ресурси.

Windows NT, 2000:

    
1. Насамперед, як і з усіма операційними системами потрібно встановити самий останній update випущений
виробником ОС (так звані service pack і хот фікси до нього ось тут:
Top Support Downloads Service Packs and Service Releases).

    
2. Вимкнути всі невживані сервіси (особливо це стосується Internet Services, таких як FTP, WWW,
сервісу віддаленого управління реєстром та ін.)

    
3. Встановіть файлову систему NTFS, яка дозволяє розмежувати доступ до кожного файлу, що знаходиться
у вас на диску.

    
4. Видалити всі згадка про користувача Guest (Гість) або групі Everyone в установках пермішенс на
кореневу і системну директорії, заборонити локальний і мережевий вхід, для всіх користувачів залишивши
тільки використовуються на даній машині, і бажано заборонити доступ по мережі для користувача
Адміністратор.

    
5. Не використовувати для повсякденної роботи користувача Адміністратор, проводити аудит, якщо є
можливість, всіх дій Адміністратора і періодично перевіряти їх на наявність несанкціонованих.

    
6. Встановити фільтрацію TCP / IP пакетів залишивши відкритими лише використовувані порти (наприклад, для того,
щоб працював www сервер досить залишити відкритим лише 80 порт).

Загальні рекомендації:

    
1. На даний момент існує безліч інтернет пейджер типу ICQ, IRC
та інших. ПАМ'ЯТАЙТЕ, що ваші співрозмовники не обов'язково відносяться до вас мирно і лояльно тому, не
переконавшись в цьому, не видавайте особистої інформації, яка може бути використана проти вас чи для
злому вашого комп'ютера, поштових скриньок і так далі. Бажано вказувати про себе якомога менше
інформації тільки те, що необхідно і не більше, інакше, грунтуючись на ваших даних, можна буде провести
атаку на пароль того ж ICQ за допомогою складеного словника. Приховуйте все, що тільки можна і, звичайно
ж, свій IP. Не використовуйте додаткових сервісів (таких, наприклад як особиста сторінка в ICQ) так як
в них теж дуже багато лазівок.

    
2. Багато сайтів створені спеціально для отримання даних про відвідують їх людях …. Висновок – не лізьте туди,
куди вам не треба або включіть в браузері максимальну захищеність, тобто без cookies і скриптів (про
ActiveX взагалі помовчимо, J останні проблеми з безпекою браузерів
Netscape і IE, якраз були засновані на помилках у ActiveX). Варто замислюватися, які сайти можуть
заслуговувати вашої довіри, а які ні, тому що веб сервер, використовуючи множинні помилки
операційної системи від Microsoft може робити з вашим комп'ютером практично все, що завгодно.
Без проблем може викачати у вас будь-який файл, і ви навіть про це можете так ніколи і не дізнатися, що
конфіденційно важлива інформація стала надбанням громадськості. По можливості використовуйте при виході в
інтернет анонімні проксі сервера (їх список можна знайти на сайті Спайлога
або в будь-якому пошуковику за ключовим словом proxy).

    
3. Бажано встановити який не будь персональний firewall який перекриє доступ до зайвих портів
(AtGuard, ZoneAlarm і.т.д.).

    
4. Ні в якому разі не потрібно забувати про такі елементарні речі як звичайний антивірус, що щось подібне до
Dr. Web, AVP,
Norton Antivirus і так далі. Маючи останні оновлення антивірусів можна попередити зараження комп'ютера
яких-небудь трояном або вірусом. Тому, крім ATGuard рекумендуется і ще який-небудь резидентний
антивірус …

    
5. Найнебезпечніше що може чекати на вас в інтернеті це звичайно звичайна пошта, іноді несе в собі
"Смерть". Вже досить давно, в комп'ютерному світі, існують віруси і трояни які поширюються з
величезною швидкістю, за допомогою інтернету та електронної пошти. Останні з них, наприклад "I LOVE YOU",
за лічені дні вивів з ладу десятки тисяч комп'ютерів Вірус зчитував вашу адрессную книгу і відправляв від
вашого імені лист містить в собі деякий текст і скрипт який осідав у вашій системі, використовуючи
помилки в поштовому клієнтові OUTLOOK EXPRESS (вірус написаний на мові BASIC, технічно його може реалізувати
практично будь-який студент, що вивчає цю мову програмування), OUTLOOK EXPRESS автоматично запускає
файли, які йдуть з листом до attachment, не треба мати багато фантазії, щоб зрозуміти чим це загрожує.

Ваш поштовий клієнт це наступна сходинка вашого захисту після firewall і антивіруса, я можу рекомендувати
поштовий клієнт the BAT, який є однією з кращих програм своєму класі.

    
6. Якщо у вас є локальна мережа і є зашаренние диски значить ви більше ніж потенційна жертва. Самі
прімітвние сканери виявлять відриті з'єднання і до вас можна буде підключати мережні диски. Ось такий
сервіс можете через незнання нам надавати … А що б цього не сталося зверніть увагу на прив'язку
tcp / ip – dial up adapter і залиште там тільки прив'язку до клієнта microsoft network і все буде ок.

Людський фактор

Часто при спробах проникнення на комп'ютер, поштова скринька і т. д., використовуються:
+ Не вірте листів надісланим від імені адміністрації будь-яких сервісів в Інетрнет з проханням вислати
їм пароль у слідстві його втрати або ще з якоїсь причини (їм простіше поміняти його і вислати вам новий);
+ Ні в якому разі не запускайте файли надіслані вам поштою, ICQ і т.д. без попередньої перевірки
на віруси (і навіть після неї файли, від сумнівних людей краще піддати ретельній перевірці, наприклад
за допомогою антивіруса з останнім оновленням). Варто дуже добре подумати, перш ніж запускати що-то
прийшло "від туди", ось один з найбільш примітивних способів:
У ICQ, методом соціальної інженерії, "хакер" прикидається дівчинкою і вступає з
жертвою в розмову, зацікавився розмовою він під яким яким приводом влаштує обмін фотографіями, тільки
жертва йому пошле нормальну фотографію, а "хакер" пошле звичайний троян зі стандартною іконкою від
jpg файлів і купою прогалин, але його останні 3 символи все таки будуть запускную. Як тільки жертва
подасть команду, троян виконає свою чорну справу, заразивши систему і розпакувавши зі свого тіла невелику
фотографію. Жертва швидше за все не відразу здогадається, про те що сталося, ну а наслідки можуть бути дуже
серйозними …

Найголовніші правила безпеки в лінукс:

У Кратц:
1. Ні в якому разі не працювати в системі під логіном суперкористувача, коли це потрібно –
використовувати команди su, sudo.
2. Закрити непотрібні сервіси.
3. Потрібні сервіси прикрити superdemon xinetd для xinetd.
4. Відредагувати файли / etc / host.allow і / etc / host.deny.
5. Оптимізувати ядро під ваші конкретні потреби, перекомпілювати ядро.
6. Регулярно оновлювати компоненти системи і відстежувати баги вашої системи.
7. Навічно відключити сервіси RPC та telnet (telnet потрібно замінити на ssh і включити через xinetd).
8. Увімкніть докладний логування важливих відомостей у системі. Використовуйте програми виявлення вторгнення
і звичайний tail.

Намагайтеся не видавати повідомлення при вході в систему взагалі, а тим більше з інформацією про вашу
системі. Знання версії і дистрибутива можуть істотно полегшити завдання зломщикові.

Запам'ятайте, root – єдиний користувач у системі, права якої система не обмежує.
Перебуваючи в системі під цим обліковим записом, ви піддаєте систему серйозному ризику, всі програми,
які ви запустите, успадкують необмежені права. Якщо зловмисник зламає одну з
запущених вами програм, то він може отримати необмежені повноваження. Для більшої безпеки
використовуйте користувальницький доступ (система обмежує простих користувачів, контролюючи їх
дії) і коли це необхідно, перемикайтеся в режим суперкористувача командою su, sudo.

Обмежте, до мінімуму, список користувачів які, можуть користуватися командами su, sudo. Заблокуйте
вхід рута для всіх віддалених сервісів, обмежте список локальних консолей, в які може зайти
суперкористувач (/ etc / seccure). Також подредактіруйте / etc / login.defs, там проставляються параметри
входу в систему за допомогою терміналів.

Linux – система класу SYSTEM 4. Це означає, що робота системних сервісів ділиться на 6 рівнів
(Runlevel) і кожен рівень відповідає директорії, які активуються і деактивуються сімлінк.
Детальну інформацію ви знайдете у відповідному посібнику.
Від вас потрібно запустити програму setup і вибрати системні сервіси які вам потрібно завантажувати на
поточному рівні, всі інші потрібно відключити.

xinetd демон контролює вказаних портів, при обращени на якій-небудь, він перевіряє права доступу до
даного сервісу. При позитивному результаті він активує даний сервіс. Сервіси ssh, ftp, dhcp, sendmail,
imap, pop3, portmap, nfs і деякі інші можна запускати через сервіс xinetd, відповідно налаштувавши
файл xinetd.conf. Налаштовуючи сервіс, чітко прописуйте, хто має право доступу до даних сервісів і по
можливості запускайте його не з під root.
Не рекомендую закривати сервіси через xinetd: httpd, dns.

Для демона xinetd є додатковий захист у файлах host.deny, пропишіть all: all, це заборонить
доступ всім до всіх сервісів тим, хто не дозволено у файлі host.alow. Доступ слід прописувати
відповідно: назва сервісу і кому він буде доступний. Не відкривайте сервіс якщо це взагалі не
потрібно, прописуйте доступ тільки тим, кому це потрібно.

Перекомпілюйте ядро відповідно до ваших апаратними вимогами. Не включайте в нього
необов'язкові або зайві компоненти, намагайтеся переносити більшу частину ядра в модулі для зменшення
його обсягів.
Використовуйте стабільні версії ядра.

Слідкуйте за інформацією bugtraq і оновлюйте свої компоненти, стежте за патчами.

Навічно вимкніть і забудьте про таких сервісах як, telnet, rpc, rsh, rlogin ці сервіси уразливі для
примітивного прослуховування пакетів, інформацію та паролі вони передають в незашифрованому вигляді.
Звичайний сніффер з легкістю перехопить будь-яку інформацію та паролі, які ви будете передавати
за допомогою цих демонів. telnet замініть на ssh, inetd замініть на xinetd.

Увімкніть точне логування всіх небезпечних Собития в системі. Використовуйте сканери проникнень у
систему, аналізатори мережевого трафіку, і програми типу tail, наприклад root-tail. Слідкуйте за логами.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*