понедельник, 6 октября 2008 г.

Безопасность для чайника. Часть 4.

Пожалуй, после длительного затишья, вызванного работой, продолжим.

Это пока завершающая часть потока сознания. Почему потока сознания? Потому что так оно и есть – все было написано на одном дыхании в метро, на смартфоне. Из разряда “что помню, то пою”, потому нет никакой структуры. К счастью для моих читателей, Вадимс Поданс убедил меня, что нужно поменять структуру сего документа, потому теперь я начну ее усиленно менять и разрожусь вскоре статьей, которую не стыдно будет и опубликовать где-нибудь, надеюсь (правда, он не смог меня убедить в том, что содержательно ее нужно поменять, зато пообщещал создать свой вариант). Пока же просто вываливаю оставшийся хлам. =)

17. Пожалуйста, не открывайте письма от неизвестных отправителей. (XT9 в мом коммуникаторе предложил мне слово "отравителей" и он прав - эти люди могут весьма отравить Вашу жизнь).

18. Не открывайте письма из предыдущего поста, даже если Вам предлагают там что-то экстраординарное. Например, что-то увеличить или что-то уменьшить. Даже если Вам это нужно – не открывайте. Найдите это сами.

19. Не кликайте на линки, приведенные в письмах. В крайнем случае, если чувствуете себя в состоянии отличить фишерское письмо от нормального, то сначала изучите этот линк на предмет валидности.

20. Тем более не открывайте вложения из писем. Вообще. В крайнем случае сохраните его на диск и также дайте вылежаться, как и всем файлам из интернета. Открывать сразу нежелательно даже, если Вы ждали именно этот файл и именно от этого человека. Просто потому, что у этого человека вполне может быть заражен компьютер.

21. Не ходите по подозрительным сайтам. Очень многие варезные сайты, например, в лучшем случае требуют установить на Ваш компьютер троянца для скачивания. В худшем - попытаются установить его либо тихо, используя, например, уязвимости браузера (обновлять софт регулярно, помните?), либо под видом какого-нибудь плагина или другого полезного софта. (Пример)

22. Мало того, большая (ставьте ударение, где желаете ;) ) часть скачиваемого с таких сайтов контента заражена. Однажды я запустил на компьютере "жертвы" проверку в папке со скачанными кряками и программами. Папка с кряками опустела больше, чем на половину. Из программ пришлось распрощаться с почти третью.

23. Из предыдущего пункта следует вывод: используйте или лицензионный софт или широко распространенные программы с открытым кодом. Первые все-таки редко бывают начинены вредносами, а вторые хоть в какой-то мере подверглись аудиту сообщества. Но кряки и кейгены могут нести угрозу. (и не только ту, о которой я тут написал. На эту тему у Володи Безмалого снова есть статья)

Части 1, 2, 3.

На этом пока завершу серию, постараюсь вскоре привести ее к нормальному виду.

8 комментариев:

Ruslan V. Karmanov комментирует...

К пункту 22:

Включайте в антивирусном/антитроянском сканере анализ заархивированных файлов ПОЛНОСТЬЮ. Т.е. до максимального уровня вложенности и с неочевидными расширениями. Чрезвычайно часто скачанный крек - это архив из текстового файлика плюс архива с креком, в котором уже лежит троян. Часть антивирусов по дефолту не сканирует ниже 1 уровня.

Плюс - добавьте папки, в которые Вы принимаете файлы, в список активно сканируемых. Это должны быть все папки в Instant Messenger'ах (QIP, ICQ, LiveMessenger - везде эти папки задаются в конфигурации и довольно очевидны - Вы легко можете сделать у себя в Моих Документах папку "Присланные файлы" и выдать каждому из IM по подкаталогу).

Ruslan V. Karmanov комментирует...

К пункту 23:

Проверяйте наличие подписи у скачанных программ. Если её нет - это не самое страшное. Хуже, когда она есть, но при нажатии на неё выводится что-то, что явно никакого отношения к скачанной программе не имеет. Плюс - если качаете что-то явно "левое" - крек тот же - наличие цифровой подписи только гарантирует то, что она - лишь для того, чтобы Вы на автомате нажали ОК. Вчитайтесь в текст подписи - скорее всего, она выдана кому-то стороннему и для некого очень ограниченного применения (тестирование или проверка), а не для подписи ПО. Ведь в каждом сертификате x.509v3 есть OID - идентификаторы применения. Посмотрите - есть ли там подпись исполняемых файлов. Вариант с Timestamp Signing или E-mail Signing (самый ахтунг - это что-то типа IPSec Intermediate :) ) - сразу откзывайте в установке.

KomatoZo комментирует...

1) Я видоизменю Ваш совет: проверять явно все скачанное. При такой проверке большинство антивирусов лезут до самого низа.
2) и объяснение 1): я пишу именно "простые правила", которые реально несложные ни технически ни организационно. Это же для домашних пользователей, которые просто не будут делать что-то сложное.
Но Ваши советы я однозначно включу во вторую серию статей для тех, кто готов потратить больше времени и сил для того, чтобы оставаться в безопасности.

Ruslan V. Karmanov комментирует...

Когда-то я за такой "Hardcore Windows Security Guide" брался - с описанием всех nt-сервисов - что оставить а что выключить, настроек в GP и прочего, прочего. Чтобы не тюнеры качали доморощенные, а знали - что, зачем и почему делается в ОС. До конца не довёл и, надо быть реалистом - уже не доведу, скорее всего. Но помочь частично, если что, вполне могу.

KomatoZo комментирует...

Не, тоже не особо потяну, да и смысла нет - окажется, что достаточно для начала переписать Win2008 Security Guide. =)
Но помощь и советы в таких вот мелочах приму с удовольствием. Вот про проверку забыл... В нормальной верси это будет =)

Cybercop комментирует...

Спасибо за ссылки. Ты знаешь, все это нужно преварить эпиграфом:
"Боже, ну когда же вы ДУМАТЬ научитесь?!!"

KomatoZo комментирует...

Володь, моё мнение - никогда. Именно поэтому возникла эта идея: написать простые шаги, которые даже не надо понимать - достаточно просто выполнить и сильно уменьшить вероятность неприятности.

osr комментирует...

Вот еще несколько рекомендаций в статье по обсуждаемой теме:

Мне запомнилась такая: Never click "agree" or "OK" to close a window. Instead, click the red "x" in the corner of the window or press the Alt + F4 buttons on your keyboard to close a window.