Сегодняшний выпуск посвящен защите домашних пользователей от Интернета от сетевых атак. Начнем с материала Владимира Воронько.
Воронько
В наши дни ещё есть места, обитатели которых не запирают свои дома. К сожалению, это - большая редкость, и для спокойного сна хорошо бы не только закрывать дверь на замок, но и всю квартиру ставить на сигнализацию. Виртуальный мир теперь тоже не так безопасен, как раньше. Преступность в киберпространстве растёт едва ли не быстрее, чем само киберпространство, и многие наверное слышали о взломах известных веб-сайтов, проникновениях злоумышленников в базы данных крупных корпораций или похищениях номеров тысяч кредитных карточек.
Эти громкие преступления обычно не затрагивают большинства пользователей Интернета, и у них возникает иллюзия полной безопасности. Единственной серьезной угрозой считаются компьютерные вирусы, подхватить которые можно, загрузив новую программу или неосторожно открыв приложения к электронному письму. Но вирусы - это привычная угроза, и почти все обладатели компьютеров знают о них, знают что необходимо иметь хорошую антивирусную программу, регулярно ее запускать, проверяя все новые входящие файлы. Надо только регулярно обновлять антивирус.
К сожалению, вирусы - не единственная опасность в Интернете. Возьмём, например, операционную систему Windows, установленную на большинстве персональных компьютеров. Даже для начинающего пользователя она достаточно удобна и внешне проста. С её помощью можно легко запустить интернет-браузер, выйти в Сеть и прогуляться по веб-сайтам. При всей своей внешней простоте, Windows - очень сложная система, поэтому многие пользователи не только не знают особенностей её устройства (а значит и управления ею), но часто даже не подозревают об удивительных возможностях творения Microsoft.
Взять хотя бы общий доступ к файлам. Этот сервис очень удобен, когда несколько компьютеров объединяются в локальную сеть. С его помощью сотрудники небольшой фирмы или просто соседи по подъезду могут видеть на экране монитора диски, директории и файлы своих соседей так же, как свои собственные. Для этого не нужно никаких дополнительных утилит - всё необходимое есть в самой Windows. Но как только вы подключаетесь к Всемирной паутине, эта безусловно удобная функция операционной системы превращается в распахнутую дверь, в которую из Интернета может войти любой желающий. При включенном "общем доступе к файлам", Windows позволяет пользоваться содержимым ваших дисков не только соседям по локальной сети, но и миллионам обитателей глобальной паутины. Стоит им только захотеть найти вас в Интернете.
Конечно, если вы не подключены к локальной сети, общий доступ к файлам вам не нужен. Вся беда в том, что он бывает включён по умолчанию уже при инсталляции, то есть установке на компьютер Windows, и не очень опытные пользователи даже если и обнаруживают его, часто не выключают, следуя вполне разумному правилу "Не исправляй того, что не испортилось." Думаю, нашим слушателям стоит зайти в "Панель управления" своей Windows, и в разделе "Сеть" посмотреть пункт "Доступ к файлам и принтерам". Если в нём включён общий доступ к файлам, надо хорошенько задуматься.
Хотя это - лишь одна из лазеек Windows, у слушателей может возникнуть вопрос: как же те, кто любит порыться в чужих дисках, смогут найти мой беззащитный компьютер на просторах Всемирной паутины? По последним данным, к Интернету имеют доступ уже около четырехсот миллионов человек. Разве можно найти что-то в таком море компьютеров? Для ответа надо кратко остановится на принципах интернет-адресации.
Каждый пользователь, выходя в Интернет через своего провайдера, в момент подключения получает уникальное число из четырех байтов, так называемый IР-адрес. Обычно этот процесс полностью автоматизирован, проходит очень быстро, и пользователь Windows не замечает никаких специальных четырех байтов. Он может годами пользоваться своим браузером и ICQ, вообще не подозревая о существовании IР-адресации. Тем не менее, именно она позволяет нормально работать всему Интернету. Когда вы заходите на любой веб-сайт и хотите посмотреть на нем, скажем, первую страницу, сайт должен передать её на ваш компьютер. Чтобы она пришла именно на ваш компьютер, при запросе веб-сайту сообщается ваш IР-адрес. После этого сайт по частям высылает на ваш адрес то, что вы хотели, и в окне браузера вы видите то, что нужно. Именно благодаря глобальной IР-адресации не происходит путаницы, и миллионы пользователей могут одновременно находится в Сети.
Кроме адресации, упомянем и о так называемых портах. Как известно, на одном компьютере, подключенном к Интернету, можно запускать множество Интернет-программ. Одновременно с разговором в чате мы можем забирать почту из почтового ящика, отправлять письма адресатам и так далее. Все эти действия проводятся разными программами, работающими одновременно через один модем. Мы знаем, что информация находит наш компьютер в Сети потому, что отправителю известен наш IР-адрес. Но когда IР-пакет принимается нашей Windows, как разные программы, скажем, ICQ, Outlook или Netscape разбираются, кому что пришло?
Дело в том, что кроме адреса машины, каждый пакет, приходящий из Сети, содержит в себе еще одно число - номер специального порта, к которому как бы подключена та или другая Интернет-программа. Сами по себе эти порты - чистая абстракция. Просто в IР-пакетах, приходящих, например, для браузера, в нужном месте стоит число 80, и Windows передаёт их Интернет-браузеру, поскольку браузеры, как говорят специалисты, "работают через 80-й порт". Почтовые программы отсылают почту через 25-й порт, а получают обычно через 110-й, у ICQ тоже есть свой порт и так далее.
Общий доступ к файлам, который позволяет видеть по локальной сети или через Интернет диски на чужой машине, работает через 137-й и 138-й порт. По одному передаётся служебная информация, а через другой идут сами файлы. Это и есть дверь в компьютер, которая по недосмотру может быть все время открытой.
Поскольку все машины находятся в Интернете под уникальными адресами, не составляет большого труда найти программу, которая может быстро перебирать IР-адреса, проверяя, заняты ли они сейчас пользователями. Когда она обнаружит пользователя, ей останется лишь проверить отклики компьютера на запросы к некоторым портам. Это и называется сканированием портов. Если хакера интересует именно доступ к файлам, он будет проверять 137-е и 138-е порты. Такое сканирование Сети напоминает обычное толкание дверей. Так поступают некоторые угонщики машин, когда, прогуливаясь по ночным улицам, подходят к автомобилям и проверяют, закрыты ли у них двери.
Как уже говорилось, общий доступ к файлам включён у многих пользователей просто по умолчанию, поэтому их компьютеры из Интернета выглядят как автомобили с незакрытыми дверьми. Если хакер обнаруживает такой компьютер сканером, то уже через несколько секунд он может подключиться к его дискам и начать их просматривать. При этом для пользователя такое подглядывание будет практически незаметным. В крайнем случае, начнёт сильнее обычного шелестеть винчестер. Кстати, простое сканирование портов вообще невозможно обнаружить без специальных программ.
У многих слушателей может возникнуть вопрос, дескать - всё вышеизложенное очень интересно и познавательно, но имеет ли это значение для домашних пользователей? Ведь обычно на их машинах нет никаких особых секретов, кому нужно проникать в них, это же не корпоративные сети.
Как ни странно, проблемы сетевой безопасности важны и для персональных пользователей. Если ваш компьютер находится в локальной сети крупной фирмы, то все вопросы противостояния хакерам должен решать специальный человек - системный администратор, которому за это платят деньги. А вот если речь идёт о персональном компьютере, стоящем у вас дома, то никто кроме вас защитить его не может.
О том, насколько часто машины рядовых пользователей могут подвергаться атаке из Интернета, можно судить по эксперименту, проведённом Лэнсом Спитцнером вместе со своими друзьями. По его словам, их локальная сеть, постоянно подключенная к Интернету, подвергалась беспорядочным сканированиям портов примерно пятьсот раз в месяц. Поскольку сканировался обычно 137 порт, был сделан вывод, что целью являются машины с Windows. Чтобы узнать, что же нужно неизвестным хакерам, было решено сделать приманку - выставить в Сеть беззащитный компьютер и понаблюдать за ним с помощью специальных программ.
Поскольку сканирование было направлено на компьютеры с Windows, друзья решили, что это не промышленный шпионаж, а атака на простых домовладельцев, поэтому как приманку решено было установить обычную Windows98, разрешить сетевой доступ к диску «С» и подключить компьютер к Интернету. Первый гость подключился к системе менее чем через сутки. Он обнаружил машину, проверил доступ к диску и поискал на нём какую-то информацию. После этого, поскольку диски были полностью открыты, неизвестный инсталлировал в систему сетевого червя (фактически - заразил её вирусом) под названием bуmer.worm.
Время не позволяет нам полностью рассказать о всех подробностях этого интересного эксперимента, поэтому желающие узнать детали могут прочитать о них на сайте void.ru - www.void.ru в статье «Анализ активности сетевых червей». Нам важен лишь вывод, что нападение на компьютеры с открытым доступом - это лишь вопрос времени.
Как же защититься? Конечно, общий доступ к файлам можно отключить, но существуют прорехи в безопасности самой операционной системы Windows, и их находят почти каждый месяц. Наиболее надёжным решением является установка межсетевого экрана, или короче - файервола (Firewall). Эта программа, которую некоторые специалисты называют также брандмауэром (Brandmauer), в компьютере как бы становится на выходе в Интернет и контролирует весь сетевой трафик. Кстати, в строительстве файерволом или брандмауэром называют огнеупорную стенку здания, которая в случае пожара должна остановить распространение огня.
Сетевые файерволы изначально разрабатывались для больших корпоративных сетей, но, как уже стало ясно, о собственной защите должны позаботиться и домашние пользователи. Среди множества персональных файерволов, выпускаемых примерно десятком самых разных компаний, одним из лучших и самым популярным на сегодняшний день является @Guard созданный фирмой WRQ Inc.
Это очень мощная и удобная программа. Ее можно рекомендовать всем нашим слушателям, которые выходят в Интернет. @Guard подходит для любой версии Windows, начиная с 95-ой, успешно защищая всю операционную систему. Контролируя соединения с Интернетом всех программ, от браузера до Телепорта, @Guard может блокировать любое из них.
Очень удобная настройка этого файервола проходит в специальном режиме обучения. По умолчанию, при запуске, @Guard блокирует все соединения по всем каналам, как внутренние, так и приходящие снаружи. При попытке какой-нибудь программы, например InternetExрlorer-а, соединиться с нужным вам веб-сайтом, @Guard переспрашивает вас - разрешить ли Exрlorer-у такое соединение, или запретить, сделать это однократно или запомнить ваше указание и в следующий раз уже не переспрашивать. Поступая таким образом со всеми программами, можно быстро настроить @Guard для нормальной работы и быть уверенным почти на сто процентов, что ни один хакер в ваш компьютер не пролезет.
В заключение остаётся добавить, что кроме защиты машины, @Guard может фильтровать сетевой трафик, удаляя из него рекламные баннеры, всплывающие окошки с рекламой, контролировать приём cookie и вести подробную статистику своей работы.
Радио «Свобода», программа «Седьмой континент». Сообщение Владимира Воронько о защите от сетевых атак комментирует и дополняет Александр Костинский.
Костинский
К тому, что сказал Владимир Воронько необходимо сделать небольшой комментарий, и несколько добавлений.
Во-первых нельзя согласиться, что опция «доступ к файлам и принтерам» - это одна из лазеек Windows. Это не лазейка, а как правильно сказал Владимир - дверь в компьютер, дверь на которой стоит замок. Аналогию можно продолжить. Разве могут предъявлять после угона претензии к производителям автомобилей те водители, которые забывают закрывать двери своих машин и оставляют ключи в зажигании? Поставив новый замок в квартире, особенно сложный, вся семья терпеливо учиться его открывать и закрывать и, опять же, производитель замков не виноват, если пользователь оставил дверь в квартире открытой или кладет ключи под коврик у порога, что известно всем квартирным ворам.
Если же говорить о прорехах в безопасности операционной системы Windows, которые действительно хакеры находят почти каждый месяц, то кроме установки файервола стоит еще следить за выпуском так называемых патчей, то есть небольших программ-заплаток, устраняющих недоработки. Патчи, которые, после обнаружения дыр, выпускает сама корпорация Microsoft, можно скачать из Интернета. Так же поступают и все производители программного обеспечения. Более того, если пользователь захочет, то он может подписаться на рассылку на сайте компании, и ему все уведомления о заплатках будут приходить по электронной почте автоматически. Одна загвоздка: очень часто заплатки могут скачать только те, кто купил лицензионный программный продукт, что делает патчи одним из инструментов легализации софта. Справедливости ради нужно добавить, что в профессиональный софт типа Windows 2000 Professional встроена более серьезная система защиты, чем в Windows 95 и 98, ее молодым хакерским дарованиям с разбега уже не сломать.
По поводу файерволов, то есть программ - защитников от внешних вторжений, тоже существует опасение. Да, они, конечно, защищают пользователя и исправляют недоработки стандартного программного обеспечения, подобно тому, как на автомобиль ставят дополнительные противоугонные системы. Однако, кто может поручиться, что производители не сделали лазейку для себя? Таким образом, разработчики файерволов могут стать своеобразными монополистами несанкционированного доступа, и кто может поручиться, что они устоят от такого соблазна? Есть ли выход из этого замкнутого круга? На мой взгляд - есть. Это - открытие исходного кода программ-файерволов. В таком случае лазейка, оставленная для себя разработчиками, рано или поздно будет найдена и устранена. Правда, с раскрытием кода увеличивается вероятность нахождения хакерами способов обойти защиту файервола, но утешает, что для действительно массовой программы такая оплошность разработчиков будет быстро исправлена сообществом, поддерживающим разработку программы.
Сказанное выше не означает, что программы-защитники ставить бесполезно. Наоборот, здесь действует проверенное правило: чем больше степеней защиты, тем больше вероятность, что злоумышленник застрянет на каком-то рубеже. К сожалению, в быстро меняющейся компьютерной среде нельзя раз и навсегда защититься от внешних опасностей. Защита - это процесс, и она требует если не денег, то уж точно некоторого времени, тем большего, чем надежней она должна быть.
Кроме того, с защитой связаны и некоторые неудобства. Если продолжить аналогию с автомобилями, то вспоминаются случаи, когда сам владелец машины не может в нее проникнуть из-за отказа охранной системы. Происходит это как раз тогда, когда нет ни одной свободной минуты. Другой пример приведем из сотовой телефонии. Счастливый обладатель нового мобильного телефона вряд ли сразу отключит функцию показа своего номера на телефон того, кому он звонит, даже если он не хочет себя обнаружить. Но допустим новичок настолько бдителен, что запретит идентификацию своего номера при звонке, тогда его поджидает другая неприятность: он не сможет дозвониться к тем, у кого стоит запрет на ответ телефонам, номера которых не внесены в память как категория - «свои, снять трубку можно». Этот пример - близкий аналог с файерволом. Запрещая некоторые типы контактов, не слишком опытный пользователь может поставить фильтр самому себе.
Полезно вспомнить и опыт брандмауэров и файерволов,охраняющих корпоративные сети. Защитой крупных систем занимаются обычно несколько компьютеров и маршрутизаторов, ограничивающих доступ в корпоративную сеть. Ограничения могут касаться конкретных Web-узлов, FTP-серверов, интернет-телефонии, программ потоковой обработки мультимедийной звуковой и видеоинформации, которые требуют значительных ресурсов. Какие именно ограничения вводятся, зависит обычно от руководства компании и системного администратора. Если вспомнить, что большое число людей посещает Интернет на работе, развлекаясь или совершая покупки, то понятно почему слово брандмауэр вызывает иногда отрицательные эмоции. Но неприятности с брандмауэрами испытывают не только любители увильнуть от прямых производственных обязанностей. Часто ограничения, которые вводятся системным администратором, слишком грубы и отсекают сервисы, нужные сотрудникам в работе. Раздосадованный пользователь звонит к системщику, но тот может его послать по бюрократической лестнице. Получив разрешение начальства и найдя вторично системного администратора, старательный работник получает рекомендации по «совершенно элементарным» настройкам, которые ему следует произвести самостоятельно. Совершив действительно несложные процедуры, пользователь обычно обнаруживает, что брандмауэр после надлежащей вроде бы настройки все равно не пропускает нужную ему информацию. Появляется чувство безотчетной вины и вспоминаются афоризмы из серии: «любое устройство, требующее наладки и регулировки, обычно не поддается ни тому, ни другому». Если несмотря на это самоотверженный сотрудник в третий раз добивается внимания системщика и тот, преодолевая разочарование в человечестве, проявит настойчивость, то доступ к информации будет наконец налажен. Остается надеяться, что она все еще остается актуальной и обескураженный сотрудник не отказался до сих пор от попыток ее получить только из уважения к создателям гибкой системы принятия решений в корпорации.
И наконец, фильтруя рекламу и Cookie, не стоит забывать, что корпорации изучают компьютер пользователя, чтобы лучше учесть его потребности.
"Cookie" (в переводе - печенье) - это механизм, разработанный Netscape для идентификации пользователя и сбора информации о нем, такой как IP адрес вашего компьютера, марка браузера, операционная система, адрес просматриваемой страницы и адрес той страницы, которую вы просматривали перед обращением. Без механизма cookie было бы практически невозможно систематически изучать ваше поведение как пользователя Web.
Сама реклама - процесс передачи информации о товарах, в идеале нужных именно этому потребителю. Стойкая неприязнь к ней порождена неизбирательностью классических СМИ, где все зрители вынуждены смотреть сплошной поток рекламы, каждый эпизод которой предназначается разной и всякий раз небольшой части смотрящих. В итоге недовольны все, так как вынуждены по большей части обрабатывать информацию, предназначенную не им. Не надо думать, что такое положение нравится самим рекламодателям. Они тоже хотят сосредоточить дорогие рекламные усилия на тех 20 процентах людей приносящих 80 процентов прибыли, которым их товар или услуга действительно нужны. Отрезая Cookie, вы в какой-то степени защищаетесь от возможной манипуляции вами, одновременно ухудшая качество предоставляемой вам коммерческой информации. Тут применима аналогия с любимым рестораном, где при вашем появлении улыбчивый метрдотель спрашивает: «Как всегда?», и вам несут бифштекс, прожаренный именно настолько, насколько нужно, и кофе именно той крепости, что сейчас необходима. Безусловно, метрдотель, а возможно и некоторые официанты получили больший доступ к персональной информации о вас, чем мальчики с конвейера Макдональдс, но почему-то многие на это идут без сожаления.
И все-таки персональный файервол - очень полезное изобретение. Защищаться нужно тем серьезней, чем более дорога вам информация, хранящаяся на компьютере. Кроме того, вы перестаете быть пассивным объектом чужого внимания, и сами выбираете тех, с кем не прочь поддерживать отношения.
Все ссылки в тексте программ ведут на страницы лиц и организаций, не связанных с радио "Свобода"; редакция не несет ответственности за содержание этих страниц.