Глобальные контрмеры против атак на пользователей Internet
В этой главе приведено множество опасных атак на пользователей Internet. Многие из описанных приемов направлены на то. чтобы обманным путем принудить пользователя запустить вирус, "червь" или другой опасный код. Кроме того, были представлены многие частные решения подобных проблем. Теперь пришло время познакомиться с общими методами зашиты против подобных атак.
Постоянно обновляйте антивирусные базы данных
Конечно, такое средство защиты, как антивирусные программы, существует и повсеместно используется уже давно. Тот. кто не применяет их для обеспечения безопасности своей системы, подвергает себя большому риску. Подобное программное обеспечение можно приобрести у многих разработчиков. Известные антивирусные пакеты (такие как Norton Antivirus компании Symantec, McAfee, Data Fellows, Trend Micro. Inoculan/InoculateIT компании Computer Associates и другие) соревнуются между собой, стараясь обеспечить наиболее полную защиту от злонамеренного кода.
Один из основных недостатков антивирусного программного обеспечения заключается в том, что эти программы не могут обеспечить упреждающую защиту против новых вирусов, появившихся после их выхода и которых они еще не могут распознать. Разработчики антивирусных программ полагаются на механизмы обновления, периодически предлагая своим клиентам обновлять антивирусные базы данных, в которые заносятся сведения о новых обнаруженных вирусах. Таким образом, между появлением новой разновидности вируса и разработкой обновленной базы данных образуется интервал времени, в течение которого пользователь остается уязвимым.
До тех пор пока пользователь помнит об этом временном зазоре и его антивирусное программное обеспечение настроено для автоматического и регулярного (хотя бы раз в неделю) обновления, средства антивирусной защиты обеспечивают надежную линию обороны против большинства из описанных ранее атак. На забывайте о том, что для получения наиболее полной отдачи нужно пользоваться средствами автоматической защиты, особенно для автоматического сканирования почтовых сообщений и гибких дисков. Кроме того, постоянно обновляйте антивирусные базы данных! Большинство разработчиков предлагают их бесплатное автоматическое обновление в течение года, однако затем за небольшую плату потребуется продлить подписку. Например, в компании Symantec стоимость годовой подписки на службу LiveUpdate составляет всего $4. За такую сумму с Web-узла компании можно вручную загружать обновления.
Следует помнить также о возможности розыгрыша, который может причинить не меньше вреда, чем сам вирус.
Защита шлюзов
Надежная стратегия защиты на уровне сети является наиболее эффективным способом защиты большого количества пользователей. В качестве средства для решения многих описанных в этой главе проблем, конечно же, следует выбрать брандмауэр. Особое внимание нужно уделять спискам управления доступом из глобальной сети, которые могут стать мощной преградой для коварного кода, пытающегося проникнуть на плохо настроенные внутренние серверы.
Кроме того, имеется множество программных продуктов, осуществляющих сканирование входящей электронной почты и трафика Web и выполняющих поиск опасного мобильного кода. Одним из таких примеров является пакет SurfinGate компании Finjan, который можно использовать на границе сети (в качестве дополнения к существующему брандмауэру или в качестве proxy-сервера) для проверки всего получаемого извне кода Java, элементов ActiveX, JavaScript, исполняемых файлов, сценариев на Visual Basic и файлов cookie. Затем на основе действий, запрашиваемых каждым модулем кода, программа SurfinGate создает соответствующий профиль. Далее модули однозначно идентифицируются с помощью хэш-кода MD5, так что при загрузке каждого модуля требуется лишь одно сканирование. Созданный профиль сравнивается с политикой безопасности, созданной сетевым администратором. Затем на основе результатов сравнения программой SurfinGate принимаются "разрешающие" или "блокирующие" решения. Компания Finjan предоставляет также различные версии программы SurfinGuard, которая обеспечивает механизм защиты против необдуманного запуска загруженного кода.
Интересная технология, реализованная компанией Finjan, помогает загруженным и малоинформированным пользователям в решении проблемы защиты от мобильного кода. Дополнительным преимуществом этого заградительного барьера является его способность предотвращать атаки с применением средств сжатия исполняемых файлов в формате РЕ (portable executable), которые способны уплотнять.ЕХЕ файлы Win32 и фактически изменять их бинарную подпись. В результате уплотненный исполняемый файл может ввести в заблуждение любой статический механизм вирусной проверки, поскольку исходный файл.ЕХЕ не извлекается до его запуска (поэтому традиционная проверка ничего не дает). Конечно же, успех такой стратегии зависит от принятой политики безопасности и заданных параметров специального программного обеспечения, которые по-прежнему настраиваются теми же безответственными людьми, которые повинны во многих описанных в этой главе ошибках.