Cuplu impenetrabil - antivirus firewall

Natalia [email protected]

Cum se simte un computer neprotejat pe Web? Să încercăm să o trăim în propria piele, mai exact, în raport cu mașina, pe propria interfață.

Dezactivează toată protecția

Să încercăm să descarcăm toată protecția în timp real dezactivând monitoarele anti-virus și anti-Trojan și setând firewall-ul personal în modul inactiv. Pentru orice eventualitate, haideți să ne ocupăm de posibilitatea de a restaura sistemul și datele prin crearea de imagini de disc complet folosind minunatul program Acronis True Image dezvoltat de Acronis. În așteptarea oaspeților neinvitați, vom lansa în prealabil un program de captură de ecran pentru a captura această posibilă vizită și vom conecta la internet.

cuplu

Au existat îndoieli: ce se întâmplă dacă computerul meu nu este necesar pentru nimic și nimeni nu-i va încălca integritatea? Dar la mai puțin de zece minute, pe ecran a apărut o fereastră de sistem:„Sistemul se închide. Salvați datele și deconectați-vă. Toate modificările nesalvate se vor pierde. Închiderea sistemului a fost cauzată de NT AUTHORITY\SYSTEM”. Se pare că sistemul trebuie să repornească Windows, deoarece serviciul Remote Procedure Call (RPC) s-a oprit în mod neașteptat. Durează aproximativ un minut pentru a închide toate ferestrele și pentru a vă salva munca. Este bine că programul CPS13 poate salva rapid capturi de ecran într-un fișier apăsând o tastă - facem o captură de ecran și închidem aplicațiile. Sistemul se repornește.

A fost un adevărat atac de hacker asupra computerului meu, care se numește Denial of Service (Denial-of-Service sau DoS), în urma căruia computerul victimei (adică computerul meu) rulează sub sisteme de operareWindows 2000 sau XP se poate îngheța sau reporni, așa cum sa întâmplat în cazul nostru. Atacul a avut succes deoarece există „găuri” în serviciul Remote Procedure Call (RPC), de care a profitat bătăușul virtual. Desigur, Microsoft lansează „patch-uri” pentru aceste vulnerabilități, iar dacă acestea sunt descărcate și instalate la timp, atunci un astfel de atac poate să nu aibă loc. Trist este că în procesul RPC, atacatorii găsesc tot mai multe vulnerabilități. De exemplu, chiar zilele trecute s-a aflat despre o nouă „găură”, nu mai puțin serioasă decât precedentele trei, deja blocată de petice. Prin urmare, nu se știe ce se va întâmpla mai întâi - un atac asupra computerului dvs. sau lansarea unui nou patch de la Microsoft, care trebuie încă „tras” pe Web și instalat la timp.

Consecințele atacului luat în considerare nu trebuie subestimate - din cauza unei „înghețari” sau a repornirii neașteptate a sistemului, poate apărea nu numai pierderea de informații importante, ci și deteriorarea fișierelor de sistem, după care este posibil ca sistemul să fie reinstalat. . Dar cea mai gravă dintre vulnerabilitățile RPC permite unui hacker să ruleze un script rău intenționat pe computerul victimei.

impenetrabil

Să încercăm să ne conectăm din nou la Internet și să așteptăm doar un astfel de „oaspete”. De data aceasta, în așteptarea acestuia, vom lansa un program antivirus pentru a detecta momentul apariției acestuia și a evita eventualele consecințe neplăcute ale acestui fenomen. În decurs de o oră, computerul a „încetinit” și s-a repornit de câteva ori înainte ca faimosul MS / Blast să intre în sistemul meu! Sosirea sa, ca de obicei, a fost însoțită de un mesaj de sistem despre necesitatea repornirii, dar, în plus, abia puțin mai târziu, a apărut fereastra Panda Antivirus Platinum, în care a raportat că fișierula fost localizat în folderul\System32\>msblast.exe și l-a neutralizat cu succes. LAdin păcate, nu a fost suficient timp pentru a face o captură de ecran, deoarece sistemul s-a repornit rapid, ca în cazul precedent. În același mod, când a încercat să injecteze viermele MS / Blast în sistem, Panda „titan” a funcționat și el - a detectat și a distrus fișierul cu virusul din folderul de sistem și de data aceasta am reușit chiar să „împușc” fereastra sa cu un mesaj despre ea.

După cum puteți vedea, programul antivirus mi-a salvat computerul de a fi infectat de un vierme. Cu toate acestea, trebuie spus că antivirusurile pot găsi doar infecția care se află în bazele de date cu viruși. MS/Blast era cunoscut de Panda, așa că l-a neutralizat. Dacă baza de date cu viruși nu ar fi fost actualizată în timp util, computerul ar fi fost infectat. Același lucru se poate spune despre virușii „proaspeți”, pe care dezvoltatorii de antivirus nu au reușit încă să îi adauge pe listele celor cunoscuți.

Antivirus + firewall

Acum să încercăm să adăugăm un firewall pentru a ajuta antivirusul și să mergem din nou la întinderile World Wide Web. Ca parte a „platinului”, Pand'y are propriul firewall. Și deși acest firewall nu este la fel de multifuncțional precum firewall-urile personale specializate, este capabil să ofere un minim de protecție. După ce am activat acest ecran personal simplu, toate încercările de a-mi ataca computerul s-au oprit. În orice caz, am încetat să-i văd.

cuplu

În ceea ce privește setările paravanului de protecție Platinum - în principiu, totul este deja setat implicit în el, iar acest lucru este suficient pentru a proteja împotriva viermilor de tip Blaster. Singurul lucru pe care l-a sfătuit șeful de asistență tehnică de la Panda Software Rusia a fost să debifați opțiuneaNu întrebați când accesează programele comune opțiunea de rețea din fereastra Programe cu acces la rețea.

În plus, produsele software „panda” includ un server antivirus dedicat, carese numeșteGateDefender. Acesta inspectează tot traficul de rețea care trece prin secțiuni ale rețelei. Scanează toate protocoalele care sunt cel mai frecvent utilizate astăzi - SMTP, HTTP, FTP, POP3, IMAP4, NNTP și SOCKS. GateDefender interceptează traficul care trece prin aceste protocoale și îl inspectează. Acesta este ceea ce permite acestei soluții să detecteze coduri rău intenționate, cum ar fi SQLSlammer.

Panda+Avanpost

În ultimul experiment, paravanul de protecție Platinum deja configurat a fost activat. Și cum se va comporta un firewall nou instalat și „neantrenat” în timpul unui atac RPC similar? Și ce se întâmplă dacă se fac erori în setările acestui ecran? Instalați Antivirus Titanium și un firewall complet Outpost Personal Firewall Pro pe computerul Panda, selectând „Modul de învățare” ca politică de funcționare. Să ne conectăm la internet și să vedem ce se întâmplă.

antivirus

Și iată oaspetele care solicită o conexiune la un serviciu de la distanță. Outpost sugerează crearea unei reguli pentru această aplicație. În timp ce tu și cu mine ne gândim ce să facem cu această aplicație: permiteți-i să efectueze orice acțiuni, interziceți-le sau creați o regulă bazată pe cea standard, Outpost blochează această conexiune. Să încercăm să permitem acestui protocol ciudat să efectueze o acțiune o dată, făcând clic pe butonul corespunzător din fereastra de creare a regulii. Pe ecran apare mesajul de sistem familiar, iar un minut mai târziu computerul repornește. Dacă oaspetele reușește să scrie fișierul virus în folderul de sistem, acesta este imediat șters de acolo de „Panda” treaz. După cum puteți vedea, este mai bine să blocați acțiunea tuturor aplicațiilor necunoscute, iar în cazul unei erori, orice regulă poate fi schimbată cu ușurință.

antivirus

De adăugat că specialiștii Agnitum au făcut deja majoritatea setărilor necesare și utile în setările Outpost,pe care trebuie doar să-l acceptați implicit la instalarea programului. De exemplu, în ceea ce privește notoriul RPC, programul are reguli de sistem („Reguli generale” în fila „Sistem”, în meniul „Parametri”), unde activitatea acestui serviciu este blocată. Principalul lucru este să nu strici aceste setări cu acțiunile tale inepte. De exemplu, puteți suprascrie cu ușurință regulile existente adăugând manual acest RPC (svchost.exe) la lista de aplicații de încredere. Outpost este un program atât de gata de utilizare încât în ​​majoritatea cazurilor nu necesită setări suplimentare.

După cum puteți vedea, protecția computerului devine impenetrabilă cu utilizarea simultană a două programe - un antivirus și un firewall. Outpost Firewall Pro controlează fluxurile de date de intrare și de ieșire ale utilizatorului, iar Panda Antivirus Titanium efectuează o „curățare” internă a sistemului - găsește și neutralizează virușii care au pătruns cumva în bariera externă (în exemplul de mai sus, am permis explicit cererea care a permis virusul să intre în sistem). Printre altele, activând modul „invizibil” în Outpost, puteți evita orice atac, deoarece computerul devine într-adevăr invizibil din exterior.

Din tot ce s-a spus, ajungem la concluzia că viitorul securității computerelor nu sunt doar programele antivirus. Utilizatorii (atât acasă, cât și corporativi) au nevoie de alte instrumente, cum ar fi firewall-uri personale, pentru a-și menține confidențialitatea. De aceea, cei mai importanti dezvoltatori de sisteme de protectie au inceput sa ofere clientilor lor seturi de programe care includ atat antivirusuri cat si firewall-uri. Destul de recent, un astfel de pachet a apărut la Kaspersky Lab - Kaspersky Anti-Virus Personal Pro + Anti-Hacker. Interesant, diversecompanii și chiar din diferite țări. Astfel, compania spaniolă Panda Software și românul Agnitum au oferit utilizatorilor un pachet din programele lor: Panda Antivirus Titanium și Outpost Personal Firewall Pro. Ceea ce îi va plăcea mai ales utilizatorului român la asta este că prețul fiecărui program în pachete este cu aproximativ 20% mai mic decât atunci când le cumpără separat.