Защита конфиденциальных данных.

Для начала необходимо понять, откуда же исходит основная угроза конфиденциальным данным. Поскольку последние крайне нужны очень широкому кругу "нехороших" людей, то становится очевидным, что на секретные данные имеют зуб очень много мошенников, и у каждого свои подходы для похищения данных; посему нам необходимо расмотреть как можно больше слабых сторон в нашей защите и понять: как же происходит потеря данных, как правильно организовать защиту и следут ли полностью доверять защитным программам.

1.1 Внутренняя безопасность.

Прежде чем рассматривать угрозы исходящие из Интернета, давайте обратим внимание на "другой фронт" - внутреннюю безопасность. Я уверен, что большинство пользователей даже не задумывается о том есть ли на его компьютере закрытая информация или нет; может ли ПК быть защищен от несанкционированного доступа сторонних пользователей. Если кто-то и задумывается об этом, то как правило просто работает на правах администратора и хранит файлы только в своей дериктории, и отсюда следует, что все остальные пользователи этого компьютера имеющие к нему доступ на правах не администратора не могут получить секретные данные. Это по теории, а на практике... Для поянения возьмем следующий пример. Бизнесмен на домашнем компьютере готовит документацию для работы, допустим даже, что машина не подключена к Сети, т.е. работает полностью автономно, и как следствие исключается несанкционированный доступ через Интернет. Остается одно слабое место: защита от самого пользователя, вернее от того, кто может получить несанкционированный доступ. И кто может получить доступ к закрытым данным на ПК безнесмена? Например, служащие дома. Допустим повар. Он имеет доступ к ПК как пользователь лишенный прав администратора, но то, что он имеет доступ уже несет потенциальную опасность. Повара например могут подослать конкуренты бизнесмена, желающие получить секретные данные или просто постоянно находиться в "курсе дел". И как же лже-повар получит доступ? Есть много вариантов: заслать шпиона, который может загружаттся и работать при загрузке любого пользователя; или имея любой доступ можно, например, узнать пароли доступа администратора, и войти уже под его именем...
Как видим, защититься от такого проникновения трудно, но можно...

1.2 Внешние угрозы.

Под внешними угрозами следует понимать не только "лобовые" атаки хакеров, но и скрытые проникновения, которые, когда речь идет о сохранности конфиденциальных данных, более опасны. (Не следует ловить на слове и понимать, что хакеры в режиме реального времени - безвредны. Это в корне неверное предположение.) Что нам следует понимать под понятием скрытые проникновения? В первую очередь это прораммы, с помощью которых совершается проникновение, сокрытие проникновения и похищение конфиденциальных данных. В большинстве такими программами являются троянские вирусы (программы, кони), а точнее Trojan-PSW ("Данное семейство объединяет троянские программы, «ворующие» различную информацию с зараженного компьютера, обычно - системные пароли (PSW — Password-Stealing-Ware)." - по классификации "Лаборатории Касперского"). При запуске PSW-троянцы ищут сиcтемные файлы, хранящие различную конфиденциальную информацию (номера телефонов и пароли доступа к Интернету, электронной почте, он-лайн игре или любой прочей информации) и отсылают ее по указанному в коде «троянца» электронному адресу или адресам. Но применяются так же (к сожалению все больше и больше) другие виды вредоносных программ: Trojan-Keylogger (следит и перехватывает нажатия клавиш на клавиатуре с последующей передачей), Trojan-Spy - прочие шпионы, потенциально опасное ПО (В легальных целях используется для восстановления забытых или утярянных паролей. В нелегальных - при непосредственном контакте с ПК (например Вы вышли из комнаты оставив взломщика одного, а он только и ждет эти несколько мгновений. Хватает и 10 секунд на взлом в таком виде.)). Но это мы рассмотрели непосредственно программы взлома, а есть еще проблема доставки и сокрытия. Доставка понитно: прораммы в большинстве случаев проникают по почте или же засылаются хакерами в виде собственно программ-вредителей, но для сокрытия проникновения используются так называемые вирусные контейнеры - Trojan-Dropper ("Троянские программы этого класса написаны в целях скрытной инсталляции других программ и практически всегда используются для «подсовывания» на компьютер-жертву вирусов или других троянских программ" - по классификации "Лаборатории Касперского"). Обычно один (или более) компонентов являются троянскими программами, и как минимум один компонент является «обманкой»: программой-шуткой, игрой, картинкой или чем-то подобным. «Обманка» должна отвлечь внимание пользователя и/или продемонстрировать то, что запускаемый файл действительно делает что-то «полезное», в то время как программа-взломщик инсталлируется в систему. И наконец сокрытие зловредного кода: в этих целях используются Rootkit-технологии ("Таким образом, rootkit — программный код или техника, направленная на сокрытие присутствия в системе заданных объектов (процессов, файлов, ключей реестра и т.д.)" - по классификации "Лаборатории Касперского"). Как правило, Trojan-Rootkit проникает в систему посредством Trojan-Dropper, т.е. в этом случае в контейнере находятся шутка-отвлекалка, Trojan и Rootkit - минимум три компонента. Из этого следут, что следует обращать внимание на программы-шутки попавшие к Вам подозрительным образом. (Если она что-то "делает" это не значит, что это не вирус.)

2. Защита и предотвращение потери конфиденциальных данных.

Выше мы рассмотрели основные места утечки конфиденциальных данных, но не все, есть множесво других методов о которых мы порой и не задумываемся.

2.1 Главные принципы обеспечения внутренней безопасности.

Далее перечислены основные кретерии предотвращающие похищение конфеденциальной информации:

1. Самый первый совет: установить пароль на вход в ПК.
2. Не оставлять незнакомых или подозрительно ведущих себя людей наедине с ПК.
3. Установить пароль на заставку монитора. Если Вы вынуждены отлучиться от компьютера на небольшое время и выключать его незачем, то желательно активировать заставку монитора с блокировкой паролем. (Настроить эти опции легко: щелчок правой кнопкой мыши по рабочему столу >> свойства >> вкладка "заставка" >> защита паролем).
4. Не хранить пароли доступа (это касается всех паролей что у Вас имеются) "на виду": пароли не будут защищены, если будут храниться в текстовом файле в корне диска С: и иметь красноречивое название, что-то вроде PASS или МОИ ПАРОЛИ, их не заметит только слепой. Да и некогда токой надежный способ хранения паролей, как запись их в тетрадь тоже безбожно устарел. Надо пользоваться специальными программами храния паролей. Или на хужой случай, создать архив, и поместить в него текстовый файл с паролями, защитив сам архив паролем. И как уже говорилось не надо давать таким файлам слишком красноречивые имена и помещать у всех на виду. (Создать архив просто: создаете тектовый файл с паролями >> создаете архив >> отрываете архив >> команда "добавить" >> выбираете файл >> OK >> на вкладке "дополнительно" >> установить пароль >> пометьте опцию "шифровать имена файлов" >> введите пароль >> жмете "ОК" и все!)
5. Любые пароли надо менять, хотя-бы раз в 2 месяца.
6. И последнее правило касающееся составления паролей. Пароли типа "Hello", "Dog", "Admin" уже давно свое исжили (согласитесь, подобрать пароль типа, вроде "F6pJs5IJgT9LZ2MP" сложней, нежели "HelloWorld" ); если Вы не являетесь професссионалом в области информационной безопасности, то Вам лучше воспользоваться программами по генерации паролей, некоторые из программ способны генерировать специализированные пароли по необходимым темам с указанной надежностью (например, программа Safety GoldSuperPass способна генерировать как пароли по пяти категориям с указанным уровнем сложности, так и пароли привязанные к конкретному ключевому слову или ПК.)

2.2 Предотвращение похищения данных через Сеть.

Давайте вернемся к пункту 1.2 и рассмотрим защиту от каждого типа зловредов. Начнем с Trojan-Dropper; это троян, его должен останавливать антивирус (ну и конечно, пользователь тоже должен смотреть что запускает). Далее остановимся на Rootkit-технологии. Последнее время все больше данные технологии стали применяться во всех типах вирусов, что положение на вирусном фронте не облогчает. Бороться с Rootkit традиционными сигнатурными методами сейчас очень сложно, поэтому антивирусные компании все более широко применяют превентивные (проактивные) методы защиты, в том числе специализированные на "поимке" Rootkit-технологии. Превентивная защита так же делится на различные методы, но вдаваться в подробности не будем. Посмотрим какие антивирусные програмы применяют специализированные Anti-Rootkit-технологии. Прежде всего стоит отметить отечественные DrWeb 4.44 с технологией Dr.Web Shield и "Антивирус Касперского 7.0" с поведенческим анализатором. Обе эти программы имеют самые совершенные технологии противидействия Rootkit на сегодняшний день. Так же хотелось бы обратить внимание на специальзированные утилиты по противодействию Rootkit, здесь можно отметить антивирусную утилиту AVZ.
Пример реакции превентивной защиты "Антивируса Касперского" на проникновение Rootkit:



Стоит отметить, что в случае с проникновением в систему Rootkit, основное значение имеет не только обнаружение, но и лечение (устранение действий зловреда в системе). Антивирусные компании и здесь применяют специализированные технологии: "Антивирус Касперского" оснащен функцией "отката" (возвпащение системе превоначального вида, до заражения), а DrWeb 4.44 имеет спец функции лечения, и занял 1-е место на тестировании антивирусов в категории "Лечение активного заражения"
Наконец мы добрались обственно к программам-ворам. Особого внимания заслуживает Trojan-Keylogger, как уже отмечалось выше этот вид зловредов следит за нажатиями клавиш на клавиатуре, т.е. этому виду программ свойственны строго определенные действия несмотря на все их разнообразие - это слежение за клавиатурой, и как следствие это их слабое место. Именно благодаря этой "уязъвимости" Trojan-Keylogger может быть обнаружен превентивной защитой (я опускаю метод детектирования по сигнатуром как классический). Но прежде я бы хотел назвать несколько антивирусных продуктов с довольно мощной превентивной защитой (исключительно на мой взгляд): антивирус BitDefender - обладает довольно мощным поведенческим анализатором, NOD32 - считается лучшим по превентивной защите (не провалил не одного испытания по превентивной защите) в основном благодаря его эвристическому анализатору, линейка антивирусов Panda - это знаменитый поведенческий анализатор TruPrevent, а так же эвритический анализ, DrWeb - оснащен фирменным эвристическим анализатором, и начитая с версии 4.44 добавлены дополнительные функции превентивной защиты, AVIRA AntiVir - последнее время показывает устойчивые прекрасные показатели на антивирусных испытаниях, Антивирус Касперского 7.0 - оснащен поведенческим и эвристическим анализатором. Это далеко не все антивирусы, я же указал только самые распространенные в России на мой взгляд.
Но вернемся к Trojan-Keylogger. На рисунке ниже приведена реакция поведенческого анализтора Антивируса Касперского на появление в системе Trojan-Keylogger:




Не стоит забывать, что превентивная защита несмотря на все свои преимущества имеет и неоспоримые минусы: 1) превентивную защиту тоже надо обновлять 2) конечное решение всегда лежит за пользователем 3) превентивная защита может делать "осечки", признавая нормальные программы за вирусы 4) не всегда может предотвратить угрозу.
Мы рассмотрели все основные этапы проникновения, сокрытие присутствия и похищение конфиденциальных данных. Остается еще один вопрос, не менее важный, и по сути являющийся последним этапом защиты. Это момент передачи украденных данных. На первых порах борьбы с программами-ворами работающих через Сеть был метод блокировки передачи определенных данных, например паролей, номеров кредитных карт. Поясню: в защитной программе (допутим, брандмауэр) есть функция "блокировка передачи личных данyых", если Вы активируете и настраиваете эту опцию на блокировку передачи пароля доступа к почтовому ящику, то Вы сможите контролировать данный пароль: Вы проверяете почту - система защиты видит, что идет предача данных защищенных от передачи (в нашем случае - почтовый пароль), и выдает сообщение, что идет предача личных данных и предлагается разрешить\запретить передачу, в данном случае Вы проверяете почту, знаете, что идет передача пароля и разрешаете передачу; но если ни с того ни с сего система защиты выдает аналогичное придупреждение в случае, когда Вы не ведете передачи пароля - Вы запрещаете, и все, похищение личных данных остановлено! Но не все так просто. В последнее время предача украденных данных перед передачей их злоумышленникам шифруется особым методом неизвестным защитной программе, и следовательно ею не видимой передачей и потерей данных. Именно из-за этого в последнее время производители защитных программ стали отказываться от технологий предотвращения уже украденных данных к технологии обнаружения самих зловредов...

3. Заключение.

В любом случае, максимальную защиту данных может обеспечить только комплексный подход всех систем и уровней защиты. И надо помнить, что как бы хорошо компьютер не ьыл защищен программами защиты он будет уязъвимым тем более, чем неопытен и не нрамотен пользователь работающий за этим компьютером; даже не обладая специальными знаниями по информационной безопасности можно избежать заражения если лбращать внимание на запускаемые файлы.

---12.09.2007 by E^D_713---