Данная книга была написана под руководством литературного агентства «Сигма+» по заказу Лаборатории Касперского. Однако в дальнейшем, по словам литературного агентства «Сигма+», Лаборатория Касперского «передумала» платить за уже написанную книгу, которая до этого им нравилась. И гонорар мне так и не был выплачен. Как думаете, почему?

Антивирусная программа — основное средство защиты от вирусов, но не единственное.

Использование только антивирусной программы можно сравнить с установкой железной двери в дом, у которого хрупкие стены. По этому поводу вспоминается случай из моего детства. Был у нас во дворе компьютерный клуб. По тем временам отличный компьютер клуб, даже с несколькими компьютерами (помимо приставок). И была у него железная дверь. Защищала она его многие годы. Но в одно пасмурное утро охранник и мы, завсегдашняя детвора, обнаружили некоторые изменения в планировке комнаты, в которой находился компьютерный клуб. Железная дверь стояла на месте, никуда не сбежала — ее приделали крепко, на века. Но рядом с дверью, в стене, была огромная дыра, которую нельзя было не заметить. Естественно, что «вторую» дверь сделали не бесплатно. За ее создание «рабочие» взяли все компьютеры и приставки, которые были в клубе.

Помимо антивируса

Помимо антивирусной программы обязательно стоит установить брандмауэр. Остальные типы программ, которые мы рассмотрим ниже, носят лишь факультативный характер, и устанавливать их домашнему пользователю не обязательно.

Антишпионские программы

Помимо антивирусных программ сейчас стал популярен еще один класс программ — антишпионские программы. То есть, программы, которые предназначены только для отлова вредоносных программ, относящихся к классу spyware (шпионящих за действиями пользователя).

Причем, отовсюду преподносится сообщение о том, что для отлова вредоносных программ класса spyware нужно иметь отдельную программу, так как антивирусные программы не могут обнаруживать шпионские программы.

Что ни говори, сообщение довольно странное. Странность этого сообщения вызывает удивление даже у первого разработчика и сегодняшнего руководителя антивирусной программы Антивирус Касперского. По его мнению, это лишь «маркетинговая фишка», нацеленная на то, чтобы побудить пользователей устанавливать еще и антишпионские программы.

В феврале 2008 года социальная сеть Orkut стала пристанищем очередного червя. Червь Scrapkut распространялся с помощью списка друзей путем инъекции активного кода. До своего обнаружения червь успел заразить 13 тысяч пользователей, что не очень много. Например, предыдущий червь, распространявшийся в социальной сети Orkut, сумел заразить более полумиллиона компьютеров.

На самом деле, все популярные антивирусные программы уже давно способны обнаруживать любые виды вредоносных программ, в том числе и программы класса spyware. Хотя в прошлом разработчики антивирусных программ действительно уделяли мало внимания шпионским программам. Но это было в прошлом.

Тем не менее, если антишпионские программы есть, то мы должны хотя бы упомянуть о них. Поэтому давайте их помянем, точнее, упомянем.

a-squared (aІ) Free edition, a-squared Anti-Malware Personal Edition, Ad-Aware, Spy Sweeper, SUPERAntiSpyware, Antiy GhostBusters, SmartFix Security Center, ViewpointKiller, Prevx, Spyware Doctor, Microworld Anti Virus & Spyware Toolkit Utility, Comodo BOClean Anti-Malware, McAfee AntiSpyware.

Итак, что же такое антишпионская программа? Фактически, это «недоделанная» антивирусная программа. Если у вас нет желания или денег на установку антивирусной программы, тогда приобретите хотя бы антишпионскую. А вот если у вас уже установлен один из популярных антивирусных пакетов, тогда необходимость еще и в дополнительной антишпионской программе сомнительна.

Брандмауэры

Брандмауэр, который еще называют файрволом (firewall) и межсетевым экраном — это те крепкие стены, которые совместно с железной дверью в виде антивирусной программы защитят ваш компьютер от внешних угроз компьютерного мира.

Поэтому давайте не будем полагаться только на железную дверь, а подберем под нее еще и крепкий материал стен. А выбрать есть из чего:

BlackICE PC Protection, Kerio WinRoute Firewall, Jetico Personal Firewall, Comodo Personal Firewall, AVG Plus Firewall Edition, Outpost Firewall Pro, ZoneAlarm, PC Tools Firewall Plus, IBM Proventia Desktop.

Большинство брандмауэров предлагают вам следующую функциональность:

• маршрутизатор для определения правил перемещения пакетов между узлами;
• прокси-сервер;
• система обнаружения вторжений (IDS);
• антивирус для поиска известных сигнатур вирусов в трафике;
• контроль целостности файлов на вашем компьютере.

Но основное назначение брандмауэра — разделение враждебного Интернета и дружеской локальной сети.

Он позволяет запретить доступ из Интернета к общим папкам вашего компьютера, а также к другим сервисам, которые открывают свои порты на вашем компьютере.

Правда, возможность закрыть от Интернета порты, которые открывают всевозможные сервисы, будет полезна только корпоративным администраторам. Так как на компьютере у домашнего пользователя чаще всего вообще нет программ, которые открывают свои порты. Например, вы же не устанавливали у себя веб-сервер, базу данных вроде MySQL, почтовый сервер и подобные программы? Как правило, такие программы устанавливаются только на корпоративных компьютерах.

Другое дело, что у Windows и помимо дополнительных программ есть, чего стыдиться. Она открывает для своих целей ряд стандартных портов (в частности, 135, 139 и т.д.), и все бы ничего, если бы не хакеры, которые постоянно находят уязвимости в Windows. А потом появляются черви, которые через найденные в открытых портах уязвимости проникают на ваш компьютер. Например, по данным компании Akamai Technologies (июнь 2008 года) большинство попыток взлома приходится на 135-й порт (Microsoft RPC) — примерно 29,66% трафика злоумышленников. На 139-й (NetBIOS) приходится 13,27%. Далее идут:

22 порт (SSH) — 12,08%;
445 порт (Microsoft-DS) — 11,02%;
80 порт (WWW) — 6,19%;
1433 порт (MS SQL Server) — 6,12%;
2967 порт (Symantec System Center Agents) — 2,93%;
4899 порт (Remote Administrator) — 1,79%;
5900 порт (VNC server) — 1,65%.

В общем, брандмауэр нужен даже домашнему пользователю — чтобы прикрыть все те срамные места, которые открывает ОС Windows.

Еще одно назначение брандмауэра — не только закрывать порты вашего компьютера, но и не позволять уже проникшим на ваш компьютер вредоносным программам открывать свои порты. Если такая вредоносная программа попытается открыть свой порт, брандмауэр не даст ей это сделать, и перед вами отобразится сообщение о том, что такая-то программа ведет себя нехорошо.

Но на свете попадаются не только вредоносные программы, которые открывают свои порты. Также на свете бывают вредоносные программы еще коварнее и вредоноснее. Они пытаются внедриться в стандартные программы для работы с Интернетом, например, браузеры и почтовые клиенты. А потом общаются с Интернетом от имени стандартной программы. Как правило, брандмауэры способны обнаруживать факт внедрения и защитить вас даже от такого типа вредоносных программ. Но для этого вы должны сначала установить брандмауэр, а уже потом устанавливать вредоносные программы.

Лучший брандмауэр Но давайте попробуем выбрать лучший брандмауэр. Для этого мы воспользуемся результатами всевозможных тестов за два последних года (так как тесты брандмауэров проводятся достаточно редко). Но перед этим хотелось бы уточнить, что все, что сказано о нескольких антивирусных программах на одном компьютере, верно и для нескольких брандмауэров на одном компьютере. Поэтому брандмауэр должен быть как Горец — только один.

• По тестам сайта WWW.FIREWALLLEAKTESTER.COM (2006 год) первое место занял бесплатный брандмауэр Jetico Personal Firewall. На втором месте оказался Outpost Firewall Pro.
• По результатам тестирования Personal Firewall Software Reviews 2007 лучшим брандмауэром оказался ZoneAlarm Pro. На втором же месте опять обосновался Outpost Firewall Pro.
• Результаты тестирования, проведенные сайтом HTTP://WWW.MATOUSEC.COM/ в 2008 году, наконец-то вывели брандмауэр Outpost Firewall Pro на первое место. Правда, занял он его совместно с брандмауэром Online Armor Personal Firewall, набравшем столько же баллов.

В мае 2008 года социальная сеть В контакте также обзавелась своим собственным червем. Червь рассылал пользователям социальной сети ссылку на картинку в формате JPG, размещенную на вредоносном сервере в Интернете. На самом деле вместо картинки сервер передавал исполняемый файл deti.scr, который и являлся файлом червя.

Отдельно хотелось бы привести результаты тестирования, которое было опубликовано на сайте журнала Хакер (HTTP://WWW.XAKEP.RU) в феврале 2008 года. В данном тестировании участвовали следующие брандмауэры: Agnitum Outpost Firewall PRO, Sunbelt Kerio Personal Firewall, ZoneAlarm Free, стандартный брандмауэр Windows XP SP2, аппаратный брандмауэр D-Link DI-604, 4-port UTP Switch Hub Router и аппаратный брандмауэр TRENDnet TW100-BRF114 4-port Firewall Router.

Тестирование проводилось на 3 тестах, которые были скачаны из Интернета: Jumper (пытается заставить стандартный процесс загрузить вредоносную библиотеку DLL самостоятельно), DNS Tester (попытка использования рекурсивного запроса DNS для обхода брандмауэра) и CPILSuite (набор из трех тестов от компании Comodo).

Цель тестирования — определить, есть ли разница между программными брандмауэрами и аппаратными брандмауэрами (которые стоят дороже). А также, получится ли установленным вредоносным программам получить доступ в Интернет в обход брандмауэра.

И, конечно, результаты тестирования.

• OUTPOST FIREWALL. Ну, сказать нечего — все тесты провалены.
• KERIO PERSONAL FIREWALL. Первый и второй тесты пройдены — доступ к Интернету получить не удалось. А вот второй тест провален.
• БЕСПЛАТНАЯ ВЕРСИЯ ZONEALARM. Отличный результат для бесплатного брандмауэра — первый тест полностью пройдет, второй полностью провален, а из третьего теста пройден только первый подтест, остальные же подтесты провалены.
• Стандартный брандмауэр Windows XP SP2 — все тесты провалены.
• Оба аппаратных брандмауэра с честью прошли все три теста, и так и не дали потенциальной вредоносной программе получить доступ в Интернет.

Следует обратить внимание на одну особенность тестирования — тестирование проводилось на брандмауэрах с настройками по умолчанию. Это может быть причиной такого ужасного провала брандмауэра Outpost Firewall. В умелых же руках, после грамотной настройки, он является грозным оружием против вредоносного ПО. И вот, кстати, еще одна прелесть данного тестирования — оно показывает, что брандмауэр недостаточно просто установить. Еще его нужно грамотно настроить.

Также следует обратить внимание, что тестирование проводилось не снаружи, а внутри защищенной зоны. Ведь брандмауэры в первую очередь используются для защиты вашего компьютера от доступа из Интернета. В данном же тестировании выполнялась попытка получить доступ в Интернет. А запрет такого доступа — не самая основная задача брандмауэра. Предполагается, что у вас должна быть установлена антивирусная программа, которая сможет обезвредить уже установленное антивирусное ПО и защитит тылы доблестного брандмауэра. Отсюда еще одна прелесть данного тестирования — оно показывает, что помимо брандмауэра у вас обязательно должен быть установлен какой-либо антивирусный пакет.

Комплексные решения Следует предупредить вас о нескольких подводных камнях при совместном использовании брандмауэра и антивирусной программы. Дело в том, что такое соседство не всегда приводит к приятным последствиям. Конечно, разработчики антивирусных программ и брандмауэров всячески пытаются подружить свои продукты. Но это у них получается не всегда. И в некоторых, пусть и очень редких, случаях соседство антивирусной программы и брандмауэра может стать эквивалентом установки нескольких антивирусов или нескольких брандмауэров. Антивирусная программа и брандмауэр начнут конкурировать между собой за право стать лучшим другом операционной системы. А такие психологические войны до добра не доводят, и могут лишить ваш компьютер даже минимальной защиты.

Еще один плюс комплексных решений — одну комплексную программу настраивать и администрировать намного проще, чем несколько отдельных программ.

Именно поэтому рекомендуется использовать не отдельные продукты, а комплексные решения от одного поставщика. То есть, программы, в которые входят и антивирус и брандмауэр. И именно поэтому в данной книге мы будем рассматривать такие решения.

Летом 2008 года пользователи социальной сети Живой журнал подверглись атаке троянской программы, которая перед этим хорошенько поиграла на нервах пользователей социальной сети Одноклассники. Речь идет об аккаунте с милым именем Наталья, который ежедневно добавляет в свой список друзей примерно несколько десятков новых пользователей. И если вы удивитесь такому поступку девушки с милым именем Наталья, перейдете на ее страницу и кликните по ссылке, тогда… впрочем, вы уже и сами знаете, что будет тогда.

Начиная со следующей главы мы более подробно рассмотрим некоторые комплексные решения для защиты вашего компьютера. А пока давайте перечислим основные возможности наиболее популярных из них (помимо антивирусной защиты и брандмауэра, которые входят в состав всех решений).

• Eset SmartSecurity 3.0 обладает следующими возможностями: защита от шпионского ПО и спама, эвристический анализатор.
• BitDefender Internet Security 2008: проактивная защита, Анти-Руткит, режим «Геймера», защита от утечки данных, зашита от шпионского ПО, защита от фишинга через WWW и электронную почту, защита от спама, контроль за беспроводной сетью, родительский контроль.
• Kaspersky Internet Security 7.0: защита от шпионского и рекламного ПО, клавиатурных шпионов, руткитов, вирусов при работе с ICQ и другими IM-клиентами, блокирование нежелательных изменений на вашем компьютере, средства создания диска аварийного восстановления, защита от Интернет-угроз (проверка файлов, почты и Интернет-трафика в режиме реального времени), предотвращение утечек конфиденциальной информации, родительский контроль, защита от спама и фишинга.
• Norton Internet Security 2008: защита от шпионского ПО и руткитов, фишинг атак, защита беспроводной сети, защита от кражи личных данных.
• Panda Internet Security 2008: защита от шпионского ПО, фишинг атак и спама, защита от кражи личных данных, резервное копирование, родительский контроль.
• Trend Micro Internet Security Pro: защита от шпионского ПО, руткитов, фишинг атак и спама, защита проводной и беспроводной сети, родительский контроль, защита от кражи личных данных.

Это что касается комплексных систем для дома и малого бизнеса. Как правило, помимо таких комплексов антивирусные компании поставляют отдельные продукты для защиты корпоративных сетей. Например…

• Check Point Integrity. Состоит из следующих модулей: Integrity, Integrity SecureClient, Integrity Clientless Security, Integrity Anti-Spyware, Integrity IM Security, SmartDefense Program Advisor Service, Total Access Protection, VPN-1 SecureClient, SecureClient Mobile.
• Kaspersky Open Space Security. Данный комплекс состоит из следующих решений: Kaspersky Work Space Security (1-уровневая защита), Kaspersky Business Space Security, Kaspersky Enterprise Space Security (3-уровневая защита), Kaspersky Total Space Security.
• Symantec Endpoint Protection. Состоит из двух компонентов: Symantec Endpoint Protection и Symantec Network Access Control. Первый содержит антивирус; антишпионское ПО; файрвол; систему предотвращения вторжений (Network IPS и Host IPS); контроль устройств для ограничения доступа к USB, DVD-RW-приводам и предотвращения утечки данных. Второй компонент отвечает за контроль доступа к сети.

Цены Но мы живем в странном мире, где ничего не предлагают даром. Поэтому помимо наград и предложений давайте посмотрим и на цены.

• Производитель: Agnitum Ltd:

  OUTPOST FIREWALL PRO РУССКАЯ ВЕРСИЯ. Цена 923 рубля.
  OUTPOST SECURITY SUITE PRO. Цена 1268 рубля.

• Производитель: Symantec:

  NORTON INTERNET SECURITY 2009 (ЗАЩИТА НА 3 ПК). Лицензия на 1 год. Цена 2699 рубля.
  NORTON INTERNET SECURITY 2009 (ЗАЩИТА НА 1 ПК). Лицензия на 1 год. Цена 1999 рубля.

• Производитель: 1С / Инфотекс: VIPNET PERSONAL FIREWALL 2.8. Цена 569 рубля.
• Производитель: АГАВА: AGAVA FIREWALL. Цена 462 рубля.

Все цены указаны по состоянию на январь 2009 года по данным Интернет-магазина OZON (http://www.ozon.ru).

Настройка брандмауэра Установить брандмауэр легко, а вот настроить его порой бывает очень сложно. Нет никаких стандартных правил, которые можно использовать для того, чтобы раз и навсегда повысить функциональность своего брандмауэра на 100%. Ручная настройка брандмауэра может быть под силу лишь тому, кто досконально знает сетевые технологии и процессы, которые работают в вашей операционной системе. Причем, создав одно правило полностью обезопасить себя нельзя, а вот свести всю защиту к нулю вполне возможно. Поэтому приступать к созданию правил работы брандмауэра следует с осторожностью.

Один из способов настройки брандмауэров — создание правил, которые блокируют все порты, кроме используемых. Проблема в том, как определить, какой порт система никогда использовать не будет? Некоторые советуют блокировать все неиспользуемые порты, однако это не выход. Ведь операционная система для ответа на запрос использует случайный порт, поэтому если вы закроете все неиспользуемые порты, тогда вы просто не сможете установить ни одного TCP/IP соединения.

Еще один способ настройки брандмауэра — определение интерфейсов (сетевая карта, модем и т.д.), которые могут работать с сетью. Обмен пакетами со всеми остальными интерфейсами будет запрещен. Порой это довольно эффективная мера защиты. Однако это лишь дополнительная защита.

Отсюда проистекает простой вывод — без особых знаний лучше всего для настройки брандмауэра положиться на режим обучения. Режим обучения поддерживается всеми брандмауэрами. Он позволяет автоматически создавать правила на основе происходящих в системе событий. Например, если какая-то программа пытается установить соединение, используя определенный порт и протокол, брандмауэр спросит у вас, разрешить этой программе данное действие или нет. В зависимости от вашего выбора разрешение/запрет будут либо однократными, либо постоянными. В последнем случае как раз и будет создано нужное правило.

Почтовые фильтры

Почтовые фильтры — это программы, которые позволяют удалять спам, пришедший к вам на почтовый ящик. Прежде всего, хотелось бы заметить, что необходимость таких программ для домашнего использования весьма сомнительна. Популярные почтовые сервера (Майл.Ру, Яндекс.Почта, Google Mail) по умолчанию используют собственные почтовые фильтры. И поверьте, их фильтры и качественнее и дороже тех, которые вы сможете найти в Интернете. Кроме того, они настроены гораздо лучше, чем это сможете сделать вы, домашний пользователь.

Другое дело, что без почтовых фильтров никак нельзя обойтись администраторам корпоративных сетей, которые установили собственный почтовый сервер.

Методы борьбы со спамом Существует несколько популярных методов борьбы со спамом, которые могут использовать почтовые фильтры.

• ЧЕРНЫЙ СПИСОК. Список IP-адресов компьютеров, которые были замечены в рассылке спама. При использовании данного метода «хорошими» считаются все электронные письма, которые не были отправлены компьютерами из черного списка.
• СТАТИСТИЧЕСКИЕ ФИЛЬТРЫ БАЙЕСА. Набор правил, по которым выполняется сортировка пришедших писем. Как правило, данный метод использует режим «обучения». То есть, вы должны самостоятельно указывать, какое сообщение является спамом, а какое обычным. И на основе ваших действий будут формироваться новые правила, по которым в дальнейшем сообщения будут сортироваться автоматически.
• СБОР ДАННЫХ. В такой системе пользователи сами сообщают, какое сообщение является спамом. Полученные таким образом сведения хранятся в одной общей базе данных, как правило, в Интернете. А клиенты просто скачивают обновления для базы данных, на основе которых определяется принадлежность новых писем к семейству спамовых отряда надоедливых.

Условия работы компьютера

Перед тем, как выбрать антивирусную программу, брандмауэр и дополнительные бастионы защиты вашего компьютера, следует определиться, к какому классу он относится (какие условия работы). Ведь защита домашнего компьютера в корне отличается от защиты корпоративной сети. Для этих двух крайностей следует применять разные способы защиты, разные антивирусные программы и брандмауэры, и даже разные принципы мышления.

Домашний компьютер

Домашний компьютер защитить проще всего. Он как небольшая крепость, которую для защиты достаточно обнести стеной, вырыть ров и наполнить его водой. Поэтому в следующей главе мы рассмотрим защиту именно домашнего компьютера.

Для этого мы установим антивирусную программу и брандмауэр. После чего научимся их настраивать.

Корпоративный компьютер

Защита компьютеров корпоративной сети — дело хлопотное и нестандартное. Осуществить его куда сложнее, чем защитить всего лишь один компьютер. Корпоративная сеть — настоящий город. Воздвигать стены и рыть рвы вокруг каждого дома-компьютера в этом городе — штука невыгодная. Закончить такую работу вы сможете только к старости. А к этому времени вас станут презирать все сотрудники, которых вы накроете отдельным прозрачным колпаком.

После того, как мы рассмотрим способы защиты домашнего компьютера, мы перейдем к рассмотрению способов защиты корпоративной сети. Для этого мы установим корпоративный антивирус, почтовый шлюз, брандмауэр с настройками доступа к Интернету, а также попробуем сочинить корпоративные правила антивирусной защиты. И, конечно, рассмотрим множество других вопросов защиты корпоративной сети.

Заключение

Враг нам известен в лицо. О друзьях мы тоже знаем многое.

Ну что ж, теперь вы готовы к активным действиям. Пристегните ремни и зарядите оружие — теоретика окончена. И начиная со следующей главы, мы перейдем к занимательной практике.

Эх, не завидую я нашим врагам…

Продолжение следует