Рекомендации по безопасности в сети интернет

В последнее время (наверное, стало больше новых клиентов) увеличился поток жалоб клиентов на утерю авторизационной пары Login, Password. Что в этой связи можно посоветовать?..

Есть вещи, о которых написано не просто много, а очень много, но к которым, тем не менее, приходится возвращаться снова и снова. И одна из таких проблем - сохранность всевозможных пользовательских паролей. Как показали недавние события, эта проблема вновь становится весьма актуальной - приходящие в "мир интернета" новые пользователи приносят с собой потрясающую безалаберность во всем, что касается сетевой безопасности.
Для начала - совершенно реальная история. Звонок в службу поддержки пользователей одного крупного провайдера.

Клиент: Здравствуйте, у меня проблема: я почему-то не могу войти в интернет.

Сотрудник: А вы пароль правильный набираете?

Клиент: Да, конечно, как положено - пять звездочек:

Смешно? Было бы смешно, если бы не было так грустно. Сегодня число пользователей интернета даже в традиционно государственном секторе ISP растет весьма впечатляющими темпами. Причем растет не за счет пресловутых "компьютерщиков", как прежде, а, в основном, за счет людей, которых традиционно принято называть "чайниками". А они, как показывает практика, в большинстве своем не имеют никакого представления ни о политике безопасности, ни об основных приемах социальной инженерии, ни об элементарных мерах предосторожности. С другой стороны, все более растущее число весьма молодых людей, мечтающих о "карьере" "кулхацкера", и всевозможный инструментарий для взлома, свободно распространяющийся на компакт-дисках и в Сети, а также обилие сайтов, форумов и рассылок, посвященных технологиям компьютерного пиратства.
Словом, сетевая жизнь неискушенного пользователя становится все более опасной и насыщенной разного рода "приключениями", о чем свидетельствуют и некоторые события последних месяцев. Дело в том, что в последнее время наблюдается настоящий всплеск деятельности компьютерных хулиганов. Основными их жертвами стали пользователи-новички, недавно подключившиеся к интернету и не имеющие достаточного опыта в работе с глобальной сетью. Причем, как свидетельствуют сотрудники ряда фирм-провайдеров, злоумышленники охотятся за всем подряд без разбора - за аккаунтами для доступа в интернет, паролями к web-mail, "удачными" номерами ICQ и т.д. Внешне все это смахивает на обычное хулиганство не очень опытных взломщиков, но все равно неприятно. Вот и приходится возвращаться к "вечной" теме безопасности паролей. Тем более, что взломщики придумывают все новые и новые способы добыть секретную по определению информацию - вечное соревнование брони и снаряда продолжается и в виртуальном мире.

Внимание! Ещё раз хочется напомнить, ISP обеспечивает клиенту возможность воспользоваться приобретённой услугой – чаще всего интернет подключением. При этом со своей стороны ISP обязуется предотвратить утечку и злоупотребление авторизационной парой работниками в силу их служебного положения. А так же всеми имеющимися возможностями и средствами препятствовать хищению авторизационной пары.

Внимание! Для возможности использования клиентом приобретённой услуги в полной мере (за исключением тестового подключения и тарифа "Экономичный") ISP не блокирует сетевые порты и не фильтрует запрашиваемый пользователем контент.

Внимание! Администрация и техническая поддержка, ни при каких условиях не запрашивает у своих клиентов данные для авторизации по почте, факсу- Login, Password ни по каким сервисам (интернет подключение, просмотр статистики, почта и т.д.).

Безопасность при работе в сети "Интернет"

Основные виды опасностей, которые могут ожидать пользователя, работающего со всемирной сетью:
    1. несанкционированный доступ к информации на жестком диске компьютера, непосредственно подключенного к интернету;
    2. несанкционированный доступ к информации в локальной сети клиента;
    3. кража паролей для доступа в интернет;
    4. международные звонки, которые может совершить модем, подключенный к Вашему компьютеру и телефонной линии.


Теперь рассмотрим основы безопасной работы в сети.

Троянские кони, компьютерные вирусы, бреши в защите браузеров и почтовых программ клиента
Самый распространенный способ распространения вирусов через интернет - клиенту отправляется письмо с вложенным файлом. Из-за особенностей реализации, некоторые версии программы Outlook Express могут запускать полученные файлы на выполнение без дополнительного вопроса пользователю. Примерно схожими механизмами осуществляется так называемый "Fishing", когда письмо содержит в себе HTML код со ссылкой на определённый сайт, при переходе по ссылке Вы подтверждаете существование почтового аккаунта и таким образом попадаете и в спамерскую базу. Или HTML код, содержащийся в письме, позволяет загрузить на компьютер без Вашего ведома стороннюю программу. Достаточно открыть такое письмо для прочтения щёлкнув по нему щелчком мыши. Поэтому настоятельно рекомендуем использовать Outlook Express и Internet Explorer версии не ниже 6.0. Также необходимо установить последние обновления от Microsoft.
Программа "The Bat" свободна от указанных недостатков и до сих пор не было обнаружено вируса, который заставил бы ее выполнить вложенный в письмо файл без разрешения пользователя.
Также хотелось бы напомнить, что вирусы могут содержаться в документах WinWord (.doc), таблицах Excel (.xls), во вложенных pif-файлах. Также не следует запускать на выполнение файлы с расширением "reg". C осторожностью отнеситесь и к расширениям "exe", "com", "bat", "cmd", "ini", "dll", "drv". Увидев незнакомое для Вас расширение файла, вложенного в письмо, обратитесь за помощью к программисту.
Многие вирусы, заразив компьютер, пытаются разослать свои копии всем получателям из адресной книги Outlook Express. Так что письмо от Вашей знакомой с просьбой взглянуть на ее новую фотографию может быть именно вирусом.
Для обнаружения вирусов мы рекомендуем использовать антивирусное программное обеспечение. При желании можно даже найти бесплатное программное обеспечение. Для некоммерческого использования можно попробовать - в функционале есть функции брандмауэра и Avira AntiVir PersonalEdition Classic - http://www.free-av.com/. По этой причине почтовым сервером блокируются такого рода вложения на этапе обработки почтовых сообщений. Так же на почтовом сервере установлено антивирусное программное обеспечение.
Однако, злоумышленник может написать трояна специально для Вас. В этом случае антивирусные пакеты окажутся бессильными. Поэтому лучше всего попросить всех Ваших коллег использовать для обмена документами вместо формата ".doc" формат ".rtf" и никогда не присылать Вам выполнимых файлов, включая самораспаковывающиеся архивы. К чему чаще всего сводятся методы софтверного получения паролей?? Выделим несколько:
Кража паролей. Практически все программы и сервисы, использующие парольную защиту, сохраняют пароли в специальных файлах. Например, данные, необходимые для доступа в интернет, хранятся в каталоге Windows в файле с расширением .pwl. Конечно, в зашифрованном виде. Но расшифровать такой файл проще простого - достаточно воспользоваться специальной программой, например, RePwl. Тут можно посоветовать только одно, закрыть доступ к SMB портам извне (рассмотрено ниже) и ни под каким предлогом не пускайте за свой компьютер людей, в которых вы не уверены.
Логический подбор пароля. Это как раз то, что нам так любят показывать в американских фильмах. Имена детей, любимых женщин, дата рождения, имя любимой кошки, написанное задом наперед и т.д. - использование подобных данных в качестве пароля - огромная брешь в безопасности, причем не только в кино. Чем больше взломщики знают о конкретном человеке или фирме, тем больше у них шансов подобрать логически требуемый пароль. Сюда еще стоит добавить элементарную "умственную лень" многих пользователей. Администраторы сетей могут рассказать, как много пользователей "придумывают" в качестве паролей "хитроумные" комбинации типа "1234" или "qwerty". Способ борьбы: использовать в качестве пароля абстрактную комбинацию букв и (обязательно) цифр. И регулярно ее менять.
Подбор пароля "в лоб" или подбор по словарю. Не так сложно, как кажется на первый взгляд. Для этого существует масса специальных программ, да и вычислительные мощности современных компьютеров значительно облегчают задачу злоумышленника. Методы "сопротивления" - те же, что и в предыдущем пункте.

Международный звонок, совершенный при помощи Вашего компьютера, может стоить дорого!
В последнее время участились случаи претензий по выставленным счетам на оплату за телефон. Причина всех этих случаев одна - кто-то из членов семьи, как правило, подростки, при пользовании Интернетом заходят на ресурсы для взрослых, после чего иногда получают счета на огромную сумму. Изумленные родители, бабушки и дедушки приходят ругаться в офисы Центров по работе с клиентами со словами: "мы не звонили за границу!" и далее вместе со связистами пытаются выяснить, почему в их телефонных счетах стоит, порой, фантастически большая сумма в десятки тысяч рублей, за звонок на спутниковый телефон или в какую-нибудь далёкую страну, к примеру, Вануату или Токелау. Суммы, которые приходят в счетах на оплату некоторым абонентам за подобные услуги колеблются от 500 до 20 с лишним тысяч рублей иногда даже больше.
Мы не раз говорили об этой интернет-проблеме, но сегодня решили напомнить про интернет-мошенников вновь и сообщить некоторые любопытные подробности. Напомним, что механизм возникновения таких инцидентов следующий: заходя на какой-либо порно- или развлекательный ресурс, пользователь получает предупреждение, где мелким шрифтом на иностранном языке ему совершенно честно сообщают о том, что его компьютер, при нажатии клавиши "энтер", закачает из сети программное обеспечение, которое автоматически разорвёт текущее интернет-соединение и установит связь с неким номером, которое оператор связи будет тарифицировать как международное соединение. Но, скажите, кто читает эти меленькие буквы какого-то там соглашения, когда на экране уже красуется полуобнаженная девушка из стартовой заставки вредоносной программы?!
Многих пользователей спасет то, что набор номера в таких программах ведётся по европейским правилам. То есть выход на международную сеть запрограммирован не через "8-10 …" и вид набора в данном соединении установлен как "тональный". К сожалению или счастью, тональным набором у нас пока пользуются единицы, поэтому модем, пропищав в линию тональные сигналы, остаётся "ни с чем". Такой вид набора просто не распознает станция. Но мошенники не стоят на месте и перед тем, как дать почитать то самое пользовательское соглашение нередко предлагают "выбрать страну" (а иногда даже и язык), поставив соответствующий флажок перед словом RUSSIA. Далее формирование "пиратского" соединения на вашем компьютере будет произведено по всем правилам, как принято в России, а именно, и международный номер начнётся, как полагается, с "8, гудок, 10…" и вид набора вам будет установлен импульсный. Остаётся только модему с вашей помощью или автоматически набрать длинный международный номер и счётчик соединения затикал!
Если раньше на вашем рабочем столе появлялось новое соединение, которое иначе называлась и ярко отличалась по виду, например, это была иконка с рисунком сексапильной дамы, то сегодня мошенники работают, что называется "в наглую". Специальная вредоносная программа изменяет телефонный номер во всех ваших соединениях не меняя ни их внешний вид, ни название. Даже сохраняется часть вашего реального логина. Но определить неладное можно. Вам поможет "номер набора"! Его видно в окне соединения и он, в случае "заражения" компьютера, будет начинаться на 8,,,,10... В этом случае немедленно остановите соединение и обратитесь к специалистам!
Заблуждение 1
"Я плачу за Интернет по тарифам провайдера, в чём дело?" Данная услуга никакого отношения к Интернету не имеет. Это обычный международный звонок и платить вам придется по тарифам международного соединения с данным телефонным номером. Минута такого "модемного общения" может стоить несколько десятков или даже сотен рублей.
Заблуждение 2
"А я туда не звонил, это меня обманули". В данном случае связисты могут только посочувствовать. Услуга - международный звонок - оказана и платить за неё придётся.
Что же делать, чтобы это не случилось?
Сказать - "не ходите на развлекательные ресурсы и всё у вас будет "ок" - это конечно не действенно. Многие люди используют всемирную сеть, чтобы отвлечься от тяжелой работы и отдохнуть, добросовестно оплачивая услуги по доступу в Сеть, и у них есть право посещать любые сайты. Поэтому постараемся дать более жизненный совет.
Первое. Установите на компьютер лицензионное антивирусное программное обеспечение и ежедневно, перед походом по развлекательным ресурсам, обновляйте базу!
Второе. Не устанавливайте на свой компьютер программное обеспечение из Интернета, если вы недостаточно разбираетесь в этом.
Третье. Если вы не считаете себя опытным пользователем или не доверяете детям-подросткам, которые могут неумышленно скачать "программу - номеронабиратель", то полезно будет запретить права администратора в настройках системы для пользователя, который путешествует по Интернету, а так же воспользоваться-таки дополнительной услугой на АТС и закрыть (или сделать разрешенным по паролю, в зависимости от станции) выход на межгород. В последнем случае это внесет некоторые незначительные неудобства при необходимости звонить в другие города, но это, практически, 100% гарантия уберечься от многотысячного телефонного счёта за международный звонок, о котором вы не подозреваете.
И ещё. Не выключайте полностью звуковое сопровождение дозвона на модеме. Всегда следите за тем, что делает ваш компьютер в Сети, за системными предупреждениями и предупреждениями с сайтов. Если ваше интернет-соединение разорвалось, а, как правило, это слышно, и начался новый набор, остановите компьютер (можно просто отключить питание модема).
Перед набором номера дозвона на модемный пул провайдера, убедитесь, что это номер именно вашего провайдера и никакой другой! Если какая-либо интернет-страничка зависла и некоторое время не отвечает, это должно вызвать подозрение пользователя.
Однако всё указанное выше не является панацеей. Поэтому просто постарайтесь быть максимально бдительны и осторожны при работе в Интернете!

Чем опасно включение NetBIOS over TCP/IP?
Включив данную опцию, Вы открываете возможность подключать Ваши сетевые диски всем пользователям сети "Интернет". Поэтому эту настройку надо отключить. Также, по-возможности, не следует оставлять общих сетевых дисков на компьютере, который непосредственно подключен к всемирной сети. Или ставьте на все общие сетевые ресурсы достаточно сложный пароль.
В Windows 9x проверить настройку можно так. На рабочем столе найдите значок "Сетевое окружение", нажмите правую кнопку мыши и выберете "Свойства". Далее щелкните на пункте "TCP/IP --> Контроллер удаленного доступа" и нажмите кнопку "Свойства". Выберете вкладку "Netbios" и выключите пункт "Включить Netbios через TCP/IP".
В Windows NT необходимо выключить соответствующие привязки в настройках сети. Пользователям этой OS необходимо помнить, что не следует оставлять пароль "Администратора" пустым, а пароль "Гостя" желательно вообще заблокировать. В хорошо защищенной системе пароли всех пользователей не должны быть слишком простыми. Помните, при включенной привязке NetBIOS к TCP/IP для удаленного доступа, если злоумышленник подберет пароль администратора, он сможет в Windows NT выполнять большинство важных системных задач. Например, в случае настроек по умолчанию, это удаленное изменение реестра, просмотр системных журналов, перезагрузка вашего компьютера, доступ ко всем дискам, включая те, которые Вы не объявляли общими (ресурсы вида a$, с$, d$ и т.п.).
Чтобы проверить выключен ли у Вас NetBIOS over TCP/IP для удаленного доступа, попросите вашего коллегу, у кого этот сервис включен, одновременно с Вами зайти в интернет и набрать команду
nbtstat -A your_IP_adress,
где your_IP_adress - Ваш IP-адрес в интернете, выдаваемый каждый раз нашим сервером на время Вашей работы во всемирной сети. Если эта команда возвращает сообщение об ошибке, то все в порядке. Так же помимо указанных выше советов настоятельно рекомендуем закрыть с помощью встроенного брандмауэра или стороннего, например Outpost Firewall - http://www.agnitum.ru входящие пакеты на так называемые SMB порты tcp/udp 135-139, а так же 445 порт RPC-Remote Procedure Call, а порт 135-Disabling Distributed COM (DCOM).

Как безопасно открыть пользователям локальной сети доступ в Internet?
В Windows NT существует возможность использовать RAS в качестве простого маршрутизатора интернет (включается маршрутизация IP, правится пара ключей в реестре в сервисах RasArp и RasMan, на клиентских машинах указывается шлюз по умолчанию и DNS провайдера). В Windows 9x также существует недокументированный способ сделать это (используя редактор реестра). Такой способ работы очень опасен, т.к. полностью раскрывает для доступа всю Вашу локальную сеть.
Поэтому мы рекомендуем использовать специальные программы - прокси-серверы и файрволлы. Для платформы Windows наиболее распространенные из них - WinRoute и WinGate. Также обратите внимание на продукты Tiny Trojan Trap и Tiny Personal Firewall.
При использовании выделенной линии и собственного сервера на базе Windows NT подойдет CheckPoint. Обзор основных возможностей CheckPoint на русском языке можно найти здесь. В Linux все средства для организации файрволла и подсчета трафика уже встроены в ядро, однако CheckPoint можно использовать и совместно с Linux. Настройка файрволла является отдельной достаточно объемной темой и выходит за рамки данного руководства. Замечу, что лучше пригласить и доверить настройку грамотному специалисту по сетевой безопасности, если же Вы отважились на самостоятельный шаг, то не стоит закрывать все неизвестные Вам сервисы поголовно. Например, модно закрывать udp порты выше 1024, при этом не многие знают, что такая замечательная сетевая утилита как Tracert (Traceroute) использует для своей работы как раз выше указанные порты. Или ещё один пример, блокирование ICMP трафика, неправильные цепочки разрешения данного трафика способны создать проблемы, но и не рекомендуется блокирование всего трафика ICMP. ICMP является простейшим средством мониторинга и контроля обмена данными на сетевом уровне. Существует множество других распространенных способов обеспечить безопасный сёрфинг по сети Интернет пользователям локальной сети: применения прокси серверов, при чём замечательным свойством данной категории продуктов является возможность фильтрации запрашиваемого контента с проверкой на вирусы или применение технологии NAT - для возможности сокрытия Ваше приватной сети. На сегодняшний день имеется множество реализаций Интернет шлюзов на аппаратном уровне с возможностью фильтрации Интернет контента, отмечу самые симпатичные, на мой взгляд: линейка продуктов Proventia-http://www.iss.net/, линейка продуктов Barracuda - http://www.barracudanetworks.com

Использование персональных файрволлов

Когда Вы подключены к Интернету, специальная программа отслеживает все IP-подключения на Вашем компьютере и дает возможность контролировать их. Как только злоумышленник пытается подключится к Вашему ПК, Ваша программа защиты выдает предупреждение и спрашивает разрешить соединение или блокировать. Использование этих средств в сочетании с последними обновлениями Windows позволит Вам не только пресечь попытки проникновения на Ваш компьютер, но и защитить себе от большинства DOS-атак. Наиболее известными персональными файрволлами являются:
Русскую документацию по настройке AtGuard можно найти здесь. Очень симпатичный набор бесплатных утилит для домашнего использования: файрвол, антивирус - http://www.comodo.com/products/free_products.html

"Лишние" интернет-сервисы на Вашем компьютере
Часто пользователи "временно" устанавливают на своем компьютере web, ftp, sql и прочие сервисы, а потом забывают про них. Настройки по умолчанию могут оказаться далеки от совершенства. В результате даже при работе через dialup риск несанкционированного доступа извне к Вашему компьютере резко возрастает. Если Вы установили у себя какой-либо интернет-сервис, то подключаться к сети можно только после тщательной проверки безопасности его настройки. Это относится в первую очередь к таким пакетам как Apache, MySQL, IIS. Не забывайте вовремя устранять обнаруживаемые уязвимости в установленном программном обеспечении.

Человеческий фактор и безопасность

Социальная инженерия. Методики, которыми пользовался еще легендарный Кевин Митник, отлично работают и сегодня. Жертва такой атаки сама отдает злоумышленникам свои логин и пароль. При этом хакер не использует никаких "программно-аппаратных" "примочек" - все делается на уровне прикладной психологии. К примеру, пользователю может позвонить девушка и милым голосом представиться сотрудницей фирмы-провайдера, мол, "у нас произошел сбой и утеряны все пароли, не могли бы напомнить свой, чтобы мы могли вас повторно авторизовать?". Или придет "письмо от администратора" фирмы-провайдера - тоже, кстати, весьма распространенный вариант. Тут метод самозащиты предельно прост: не верьте, потому что провайдеры практически никогда так не поступают. В крайнем случае, не поленитесь перезвонить в офис своего ISP. Но знайте: хитроумие хакеров поистине безгранично, и на свет регулярно появляются новые схемы "запудривания мозгов". Да и не только - упомянутый выше Кевин Митник сотоварищи в свое время нашел немало полезной для себя информации, просто копаясь в мусорках с выброшенными бумагами возле офисов больших корпораций.
Хотелось бы напомнить, что бланк с Вашим логином и паролем не следует оставлять на видном месте. Пароль также не следует произносить вслух при посторонних лицах.
Не редки случаи кражи паролей знакомыми абонентов. Узнав где лежит бланк с паролем, злоумышленник, улучив удобный момент, переписывал его себе. Если пароль на почту или доступ в интернет запоминается у Вас на компьютере, то сохраняется возможность скопировать фрагмент реестра из Вашего компьютера и т.о. украсть Ваш доступ во всемирную сеть. Поэтому не следует разрешать посторонним лицам работать без присмотра на Вашем компьютере.
Еще один вид обмана - поддельное письмо или телефонный звонок от имени Вашего провайдера или сотрудника одного из отделов с просьбой сообщить пароль.
Помните необходимо всегда менять пароли по умолчанию. Это касается и настроек Ваших XDSL модемов. Необходимо запретить возможность доступа к консоли управления модема с WAN порта. Так же необходимо ограничить доступ, Вашим внутренним ip адресом, на модем и по другим протоколам:telnet, ssh, ftp. Особенно по FTP. Ничто не мешает злоумышленнику "слить" по FTP себе образ конифигурационного файла Вашего модема, содержащий логин и пароль на подключение. А затем восстановить у себя на модеме. Главное что модели модемов совпадали. Для конкретной модели модема необходимо ознакомиться с документацией. Если Вы оплачиваете установку модема нашими специалистами, то просите на месте запретить доступ к WAN порту.
Пройдя по ссылке "Просмотр статистики" из раздела "Клиенту" http://www.kuzbass.net - можно просмотреть наработку по Вашему подключению. Это очень хорошая возможность следить за расходом средств на Вашем счете. Будьте внимательны, при малейших подозрениях сразу же обращайтесь в РУС где Вы заключили договор или пр-т Октябрьский 10 тел. 52-70-32.
Важно всегда помнить, что злоумышленники чаще всего являются прекрасными психологами.