Спробую розпочати цикл статей, з власного досвіду, який сподіваюсь допоможе комусь в розумінні та аналізі різноманітних систем.
Початок - на прикладі windows.
А далі - в залежності від своїх, а також Ваших побажань. ]]>
Спробую розпочати цикл статей, з власного досвіду, який сподіваюсь допоможе комусь в розумінні та аналізі різноманітних систем.
Початок - на прикладі windows.
А далі - в залежності від своїх, а також Ваших побажань.
<!--break-->
Ліричний вступ
Знаю, дана система - переважаюча на ринку... І для бізнесу в ній створено всі можливі програмні продукти. І підтримка драйверів реалізована непогано, і знає її на банальному користувацькому рівні кожна собака.
Але не зважаючи на це - психологія роботи, відношення до користувача, а головне - наявність вірусів, та найнижчий серед усіх операційних систем рівень безпеки. І з цим я не можу миритись.
І про боротьбу з вірусами та частково безпеку я спробую сьогодні сказати кілька слів.
Що таке вінда?
Відповідь буде лише про недоліки. Нічого не можу з цим зробити, але переваг у вінди залишилось дуже мало, які можуть реально протистояти всім її недолікам.
На статтю мене "надихнула" недавня епопея боротьби з вірусами на моїй робочій станції.
І все би було добре, якщо б поряд не стояло дві робочих станції та сервера на "інородних" операційних системах(про них я не буду говорити). Скажу лише, що вони виконують аналогічну роботу, як і вінда - кількість файлів та різноманітних пристроїв, що проходять через них - аналогічна, але з безпекою проблем немає.
А вінда:
- встановлений ліцензійний хороший антивірус
- постійно стягуються та встановлюються останні сервіс-паки
- не запускається жодних лівих інтернет програм
- також не використовується Internet Explorer
І толку мало.
Є нюанс, з яким постійно зустрічається щодня дана робоча станція - в неї "вставляються" від 20-ти FLASH накопичувачів в день, які приносять замовники.
І що тільки не робилося - толку 0 - віруси лізуть і все тут. І саме головне - працюючи не від імені адміністратора, система заражається всерівно і заражається також і адміністративний профіль.
- Поганий антивірус? Сумніваюсь - перепробували велику кількість як легальних так і не зовсім варіантів - без толку!
- Погані користувачі? Також сумніваюсь - проблеми не тільки на моїй робочій станції.
- Погана система? Погоджусь!
Проблеми безпеки
Параметри за замовчуванням
Окремим пунктом є "автоматизм", який МС вважає "зручним". Ідея звичайно хороша - при вмиканні нового пристрою - запустити пов'язаний їз цим алгоримт. Але це добре для накопичувачів, в яких рівень довіри наближається до 100 відсотків.
А як бути в випадку, якщо це розповсюджений флеш-накопичувач, зовнішній диск, або навіть підмонтований мережево розшарений ресурс?
Вимкнути автозапуск? Правильно! Але як це зробити звичайному користувачу? В системі ХР(Віста) навіть нормального інструменту для цього немає.
Складність розуміння структури системи
Скажімо клікаєте ви на файл з розширенням *.doc - система перечитує реєстр, викликає відповідно назначену для цього програму або клас, з яким пов'язана певна функція виклику в деякому dll компоненті...
Складно? Так! І найгірше, що процес цей зовсім не захищений. Тобто будь-який ламер може змінити процедуру обробки такого кліка.
А тепер подумайте про такі виклики як
- меню правої кнопки миші(в кожній з програм)
- інсталяція програм
- одноразовий виклик певних команд при перезавантаженні
- неймовірна кількість місць в реєстрі, звідки можна зробити виклик програми без відома користувача
- білі та чорні списки вебсайтів, яким довіряє користувач і яким недовіряє. Додати туди щось не складає проблеми.
І це ще не все.
Доступ заборонено
Думаю кожен користувач вінди час від часу отримував таке повідомлення. Чесно кажучи я взагалі не пригадую випадків, коли таке повідомлення виникало в справжньому випадку, коли заборона була потрібна(ну я не рахую тих випадків, які були викликані параметрами системи, заданими мною). В оносновному таке повідомлення виникало в випадку необхідності доступу до мережевого ресурсу на сусідній машині, або при необхідності інсталяції певного програмного забезпечення, яке вимагало адміністративних привілей і в даний момент існталяція відбувалась під профілем неадміністративного користувача в режимі Run as...(Запуск від імені іншого користувача).
А знаєте, як обобляють таке повідомлення "інші" ОС?
Вони виводять на екран вікно вводу логіна та пароля користувача, який має права. Зручно? Так! Безпечно? Так! А от чому саме безпечно? - Домашнє завдання Вам 8))))))).
Аналіз безпеки
Спробую навести приклад
Як можна навчитись створювати автозавантаження з якогось диска, що Ви записуєте?
В документації до Вінди про це мало що написано - більше в MSDN, який коштує великих грошей, або на сайті майкрософта, де частково це можна почитати(із великою кількістю помилок та застарілої інформації). Можуть в цьому допомогти також і спеціальні програми(стороннього виробника і не завжди безкоштовні), в яких може бути присутній певний варіант інтерфейсу до функцій автозавантаження, які надає вінда.
В прикладах, які описані на різноманітних вебсайтах - метод дуже хороший, але не завжди універсальний
В вірусології, де точно можна знайти найрізноманітніші методики автоматичного запуску, які точно працюють!
Класно, правда? Я описуюю тут технології вірусів, які мають перевагу над офіційною документацією розробників ОС.
Як можна проаналізувати зміни в системі?
Приклад. Встановили Ви якусь програму, що понастворювала в системі величезну кількість перехоплень викликів по правій кнопці мишки, додала колосальну функціональність до ОС зручними фічами, понастворювала велику кількість файлів, позакидала в автозавантаження себе і свої компоненти, пододавала велику кількість служб та драйверів тощо. Як все це побачити? Реально ж повзунок інсталяції дуже малоінформативний! Для цього в системі вінди немає user-friendly інструментів. А ті, що є - вимагають значних знань, на рівні адміністрування великих серверів windows. Я спробую показати на прикладі Microsoft management Console яким чином легком'які пропонують робити аналіз вже зроблених змін в системі(замість того, щоб не допустити цих змін).
Як можна відкотити зміни в системі?
Загалом в випадку вінди це або незручно, або дорого. Про один з методів відновлення роботоздатності вінди я писав раніше - Відновлення роботоздатності Windows.
Незручно
Незручно тим, що система сама не надає нормальних засобів для резервування даних на рівні користувача. Все, що є - це пафос. Хоча в прямих руках можна користуватись і цим. Крім того самі ці засоби створені коряво, і ними досить часто користуються віруси для внесення змін в систему.
Дорого
Для резервного копіювання потрібно мати подвійну ємність накопичувачів. А це прямі витрати. Хоча мабуть вінда - це єдина система, в випадку використання якої резервне копіювання насправді вигідне. Як мінімум економією часу.
Потрібно
І навіть дуже! В випадках, коли Ваша система для повної переінсталяції вимагає часу в районі тижня-місяця. Крім того врахуйте, що не всі віруси залишають цілісність Ваших даних. А зруйновані дані ніяка переінсталяція не відновить.
Хоча в більшості випадків достатньо зберігати копію найважливіших системних параметрів, з якими реально завантажитись на певному етапі.
Кроки
- Вимикаємо всі можливі автоматичні процеси в системі
- Змінюєм параметри реєстру з максимально можливим захистом
- Налагоджуєм права доступу до певних гілок реєстру
- Робим резервну копію головних параметрів
- Налагоджуєм політики безпеки
- Налагоджуєм права доступу до важливих файлів на файловій системі(NTFS)
- З допомогою MMC робимо збереження налагоджених параметрів для аналізу в майбутньому
Але про ці кроки - в майбутніх статтях
