Защита

Discussion in 'Безопасность и Анонимность' started by Filipp, 28 May 2015.

  1. Filipp

    Filipp Elder - Старейшина

    Joined:
    10 May 2015
    Messages:
    257
    Likes Received:
    57
    Reputations:
    31
    Вступление
    Прежде чем начать, хочу сделать небольшое вступление. Когда я читал тематику и условия конкурса, я заметил одну особенность. Не указан вектор пользователей.

    Пользователи Windows делятся на два типа:
    • Обычные рядовые. Основное использование системы: решение типичных задач, серфинг в интернете, просмотр фильмов, ну и безусловно игры.
    • Админы. Основное использование системы: администрирование определенного ресурса используя возможности Windows, возможно в официальных предприятиях.
    Для всех юзеров, есть золотое правило, не делайте глупостей. Прежде чем что-то сделать, подумайте чем это может обернуться. Самые банальные меры предосторожности и немного логики всех спасут.

    Рядовым юзерам
    Все мы знаем, что сейчас Windows, мягко говоря, не самая защищенная ОС. Хакеры выпускают все новые уязвимости, и это будет продолжаться бесконечно, а разработчики будут закрывать эти дырки. Майкрософт дает стандартные советы безопасности, глупо было бы ими пренебрегать, ведь самое основное описано в них. Из этого хочу подчеркнуть одно: обновляйте свою систему!
    Это самая основа, которой ни в коем случае нельзя пренебрегать.
    Ну а теперь, поговорим о советах не входящих в стандартный набор Мicrosoft​
    1. Наличие антивируса либо фаервола. Используйте проверенных издателей антихакерского ПО, например Dr.Web или лабораторию Kaspersky.
    2. Сёрфинг в Интернете. Многие наслышаны о многочисленных сплоитах, которые позволяют проникнуть в систему открывая веб-страницу. Да это так, но обычно они ссылаются на стороннее ПО, например, Adobe Flash Player, или Java. Но стоит учесть, если вы обновляете это ПО, вряд ли это сработает. Да, не спорю, есть 0-day уязвимости. Но на вас их использовать не будут, ибо в этом случае их быстро спалят и добавят в антивирусные базы. Тратить такие ресурсы на обычного юзера никто не будет. А то что в топе, то в топе и у антивирусных компаний, они не дадут нормально отработать вредоносному ПО.
    Анализ файла
    Представим себе типичную ситуацию, вам нужно использовать программу от непроверенного издателя. Допустим, эта программа содержит вредоносный код, пусть будет кейлоггер. Антивирусы к нему относятся по разному.
    • Нужно проверить файл всеми топовыми антивирусами, в этом нам поможет VirusTotal.
    • Смотрим на поведение антивирусов. Иногда бывает так, что некоторые антивирусы видят угрозу, а некоторые нет. В таких случаях рекомендую акцентировать внимание на поведения топовых антивирусов. Типа Dr.Web, Kaspersky, ESET NOD и т.д.
    • Рекомендовано проверять сомнительно ПО на виртуальной машине. Это дает много преимуществ, например, если ПО не работает как должно, вы об этом узнаете сразу не подставляю под угрозу основную ОС. Так же можно контролировать трафик. Но если там какой-нибудь бэкдор, то вряд ли вам удастся сходу определить вирус это или нет.
    • В нашем случае, в файле лежит кейлоггер, антивирусы его не видят. Если все же запуск данной программы вам необходим, можно поступить следующим способом. Создаем нового пользователя с обычными правами, шифруем тем же BitLock'eром диск с данными. Далее запускаем нашу программу с вредоносным кодом под этим пользователем. Таким образом кейлоггер будет записывать нажатия клавиш стороннего пользователя, который ничего не пишет. Сделает это команда runas. Пример синтаксиса:
      Code:
      runas /user:Андрей notepad.exe
      Если вместе с кейлоггером будет троян, при наличии антивируса и обновлений безопасности,
      маловероятен риск того, что троян сможет поднять привилегии.
    К сожалению, не всегда получается отбить атаки, в связи с этим есть следующее золотое правило, готовьтесь к худшему! Храните пользовательские данные в облаках, делайте бекапы. Если вы нашли источник своей неудачи придерживаясь всех правил описанных выше, сообщите об этом в антивирусную компанию.
    Админам
    1. Здесь обстановка серьезней. Не устану повторять, обновляйте все ПО установленное на рабочей машине. На ваши сервера могут быть использованы 0-day уязвимости. Если позволяет бюджет, купите отдельный аппаратный фаервол, это уменьшит риск взлома. Обычно такие фаерволы не падают, имеют более обширный вектор защиты, ведь там своя ОС зашитая только под эту цель. Если бы я был админом какой-нибудь фирмы, занимаясь безопасностью севера, первым делом настроил фаервол на блокирование ip, который попытался дать нестандартные запрос.
    2. Когда бюджет не позволяет такой роскоши, я предпочитаю самую простую логику, ту, в которой нечего взламывать. Настройте доступ, что бы кроме вас никто не имел доступ к административной панели. Пример этой логики: Если ip ваш, логин и пароль верный, вы попадаете в административную панель. Данная реализация осуществляется в пару строчек кода, так что взламывать там попросту нечего.
    3. Заказ пентеста. Лучше раз заплатить грамотному пентестеру и забыть выражение "взлом сервера". Вам покажут где возможны атаки, дадут пару советов о том, как избежать взлома определенной дырки. Но в этом, безусловно, есть и минус. Мир не стоит на месте, то что вчера казалось крепостью, сегодня может стать песочным замком. Так что лучше следить за мировыми новостями в области хакинга.
    4. Шифруйте все данные односторонними алгоритмами, создаете текстовый документ на электронном носителе, генератором пароля выбираете password на 64 символа, шифруете, пароль скидываете, флешку/дискету/диск прячете.
    P.S
    Q: Как мне быть, поддержка XP уже давно прекратилась, а нужный мне софт работает только под XP?
    A: На помощь бери виртуальную машину, удали оттуда сеть (ставь левые настройки, удали драйвер), что угодно, главное что бы из сети до тебя не достучались. Если необходим интернет, ставишь фаервол, и настраиваешь его таким образом, что бы connect был только к нужному ресурсу, остальное рубилось.
     
    #1 Filipp, 28 May 2015
    Last edited: 2 Jun 2015
    nynenado likes this.