На главную страницу
О журнале План выхода Подписка Интернет-Магазин Реклама Контакты и реквизиты English На главную страницу Карта сайта Поиск по сайту Обратная связь

перейти к Содержанию номера
№ 4 июль-август 2011 г.
Тема номера:
ТЕХНОЛОГИИ ЗАЩИТЫ ОТ ВРЕДОНОСНЫХ ПРОГРАММ

Контентная фильтрация: четыре рубежа защиты от вредоносных программ

В. Бычек, руководитель направления контент-безопасности (eSafe)
Компания «Аладдин Р. Д.»


Предыдущая статьяСледующая статья

Говоря о современных интернет-угрозах, прежде всего стоит задуматься о целях атакующих нас злоумышленников. А хотят они простого — либо отнять у нас деньги, либо воспользоваться нашими компьютерами для пополнения своих бот-сетей, которые представляют собой средство производства современного киберпреступника: спам, DDoS — все, что пожелаете за ваши деньги.
 

Нас атакуют – мы защищаемся

В общем случае атака происходит в два этапа.

1. Инициирование — пользователь переходит по ссылке на страницу, содержащую вредоносный код, либо загружает инфицированный файл на свой компьютер. В первом случае активный контент, который скрыт в web-странице, выполняется на атакуемом компьютере. Во втором — инфицированный файл тем или иным способом запускается на выполнение.

2. Выполнение полезной нагрузки — вредоносная программа отправляет в центр управления (С & C) документы, пароли, снимки экранов, последовательности нажатий клавиш и тому подобные вещи с целью получения коммерческой выгоды абсолютно незаконным путем либо выполняет команды владельца бот-сети (DDoS, спам), что также является абсолютно криминальным способом его обогащения.

Защита может осуществляться как на серверах и клиентских компьютерах (всегда актуальные классические антивирусные средства), так и на шлюзе на границе защищаемого периметра (контентные фильтры). Еще несколько лет назад шли ожесточенные споры о том, какие средства обеспечивают лучшую защиту и какие следует применять. На сегодня эти споры уже история. Все согласились с мнением, что в борьбе с компьютерным криминалом все средства хороши и наилучший результат дает как раз сочетание персональных и шлюзовых средств защиты.

Исторически подавляющее большинство антивирусных пакетов предназначалось, в первую очередь, для предотвращения инфицирования. И сейчас огромные усилия прилагаются именно для предотвращения проникновения вредоносного кода на атакуемые хосты. Несмотря на эти усилия, по ряду объективных причин предотвратить инфицирование удается далеко не всегда. В чем же причина?

Во-первых, авторы вредоносных программ всеми имеющимися средствами пытаются предотвратить детектирование своих произведений популярными антивирусными средствами и, в большинстве случаев, тестируют свои произведения на актуальных версиях решений ведущих компаний-разработчиков антивирусных средств.

Очень интересный пример маскировки вредоносного кода описан в статье эксперта Лаборатории Касперского Марты Янус, опубликованной на ресурсе www. securelist. com 15 июня 2011 года. Прочитав упомянутую статью, начинаешь понимать, насколько изощренными и в своем роде изящными методами пользуются криминальные программисты для того, чтобы защитить свои программы от обнаружения и уничтожения.

Во-вторых, часто довольно трудно отличить вредоносный код от легитимного. Неплохим примером подобного кода является переадресация (drive-by) на «заряженную» атакующим кодом web-страницу. Сам по себе переход по ссылке безопасен, однако перестает быть таковым, когда ведет на зараженный вредоносным кодом ресурс. В данном случае важно то, что пользователь, как правило, даже не подозревает о том, что между делом посетил какой-то неизвестный ему web-ресурс и вернулся оттуда с «подарком» от неизвестных хакеров.

Вывод: сегодня избежать инфицирования для компьютеров, которые выходят в Интернет, довольно трудно, особенно если не проявлять необходимую осторожность в браузинге. Однако большинство применительно к интернет-безопасности все-таки руководствуется пословицами типа «тормоза придумал трус» и не беспокоится об инфицировании до тех пор, пока не ощутит на себе воздействие вредоносного кода в полной мере.

< ... >
 


 

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»


Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        +7 (921) 958-25-50, +7 (911) 921-68-24


Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2024 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru

   Rambler's Top100    Технологии разведки для бизнеса