Предупреждение появления нежелательных программ и избавление от них
Итак, следует принять за правило: любой файл, полученный из сети без предварительного договора о его отправке, может оказаться трояном. Даже безобидная картинка может оказаться замаскированной программой. Каждый такой файл надо либо сразу удалить, если он не нужен, либо сохранить на диске и проверить антивирусом, а заодно и посмотреть, что он собой представляет, например, щелкнуть по нему правой кнопкой мыши и выбрать пункт "свойства". Любую новую программу стоит запускать с включенным антивирусом и firewall’ом, а если она пытается связаться с Internet, то проводить более детальную проверку. До и после запуска надо сверить список автоматически запускаемых программ - троян может не запускаться сразу, а только прописать себя, скажем, в реестре и запуститься после перезагрузки. Для отслеживания подобных действий удобно использовать Jammer - он предупредит, что какая-то программа пытается что-то записать в автозагрузку.
Для выполнения своей функции (открыть доступ к компьютеру или переслать пароли) троян должен запуститься. Таким образом, если контролировать, какие именно программы запускаются на компьютере, то можно защититься от довольно большого числа вредителей. Подобная защита успешно работает против абсолютного большинства ныне действующих троянов.
Следующий этап защиты - блокирование связи трояна с автором. Большинство троянов рассчитано на Internet, а firewall - один из наиболее важных элементов защиты от удаленных атак. Но необходимо учитывать, что троян может ничего и не отправлять по сети, а, скажем, писать в файл все, что пользователь делает на компьютере, включая пароли.
Ошибки в программном обеспечении и обновления программ
Большинство сетевых атак становятся возможными из-за наличия в программах ошибок. Программы создаются людьми, а людям свойственно ошибаться. Компьютерные взломщики находят "дырки" в системах и программах, которые позволяют сделать что-нибудь недозволенное, например, получить несанкционированный доступ к информации. Производители программного обеспечения постоянно работают над улучшением своих продуктов, выпускают новые версии и "заплатки" (патчи) к старым версиям.
Самый главный совет - это своевременно устанавливать все исправления к своей операционной системе. Что касается Windows - Microsoft регулярно находит и исправляет ошибки. Исправления становятся доступны практически сразу. Для Windows NT основные исправления называются сервис-паками (service pack). Для Windows 95/98 выпускается просто масса отдельных заплаток. Настоятельно рекомендуется периодически заходить на сайт Microsoft (http://www.microsoft.com) и скачивать свежие патчи.
D.O.S.-атаки
Помимо атак с целью получить какую-либо информацию, существуют и хулиганские диверсии. Обычно это атаки, вызывающие зависание или перезагрузку компьютера, иначе говоря, D.O.S.-атаки (не путать с MS-DOS, D.O.S. расшифровывается как Denial of Service, т.е. отказ в обслуживании). Практической пользы D.O.S.-атаки для атакующего не несут, это нечто вроде вандализма. Как могут навредить DOS-атаки? Обычно атака выглядит как программа, которая предоставляет возможность ввода IP-адреса атакуемой машины. В случае успешной атаки компьютер-жертва зависает или перезагружается, иногда компьютер может просто отсоединиться от Сети.
8.4.1. Разновидности D.O.S.-атак: WinNuke, flood ping, фрагментированные IP-пакеты
7 мая 1997 года был обнародован принцип самой, пожалуй, нашумевшей DOS-атаки под названием WinNuke, которая вызывает прекращение деятельности TCP/IP-ядра (система продолжает работать, но для работы в сети нужно перезагрузиться). Ее жертвами становились Windows-системы. Автор поместил исходный текст программы в несколько телеконференций. Первой жертвой стал www.microsoft.com. Сервер не работал более двух суток - прекратил откликаться в пятницу вечером (9 мая) и только к обеду понедельника вновь обрел устойчивость. Конечно же, наряду с жертвой номер один, в мае 1997 г. пали многие другие серверы. К чести Microsoft следует заметить, что заплатки появились и стали доступны достаточно быстро.
Далее, в том же 1997 году, DOS-атаки стали появляться с завидной регулярностью. Teardrop, SSping, Land, PingofDeath и многие другие возникали буквально каждую неделю. Где-то в середине лета www.microsoft.com прикрыли мощным firewall’ом. С тех пор подобного бума DOS-атак больше не случалось.
Пример другой такой атаки - это flood ping на IRC - беспрерывная подача пакетов без ожидания ответа от жертвы. Существуют и программы, действие которых основывается на посылке фрагментированных IP-пакетов с некорректной информацией о сборке. При получении таких данных операционная система пытается собрать полученные фрагменты, но из-за неправильно указанных длин фрагментов происходит неправильное выделение памяти. Работа операционной системы останавливается полностью, она реагирует только на выключение питания. Атаке подвержены Win'95/98/NT. Для защиты требуется поставить на систему патчи.