Отправляет email-рассылки с помощью сервиса Sendsay

Лечение пикантных болезней компьютера.

Рассылка закрыта

При закрытии подписчики были переданы в рассылку "Раскрутка сайта для начинающих" на которую и рекомендуем вам подписаться.

Вы можете найти рассылки сходной тематики в Каталоге рассылок.

  Август 2006  
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
Автор
Alex

Статистика

1 подписчиков
0 за неделю
  Все выпуски  

Лечение пикантных болезней компьютера.


Анти-spyware.

Доброй ночи.

   Сегодня будем говорить на старые, но все же интересные темы, поскольку беседа о портах не вызвала у вас особого интереса:)
Недавно узнал, откуда пошло слово брандмауэр, оказывается, впервые эта штука появилась на паровозе. На паровозах топившихся углем, где машинист лопатой бросал уголь в топку, постепенно скапливалась угольная пыль. Время от времени эта пыль неплохо вспыхивала, вызывая пожар, как в самом паровозе, так и в пассажирских вагонах. Каждый такой пожар, понятное дело, сказывался на репутации железнодорожной компании, поэтому компании стали оборудовать свои паровозы железной переборкой позади машинного отделения, для защиты пассажиров от огня. Эти переборки и назывались брандмауэр, что характерно, они защищали пассажиров, но не самого машиниста. В компьютерной сети я так понимаю пассажиры это пользователи, а вот машинист это администратор сети, так что админу гореть по любому:)
   Когда-то давно я упоминал про системы обнаружения атак (не по-русски это звучит IDS), они стали появляться у некоторых антивирусов, как, например, у Касперского (хотя по слухам система обнаружения атак Касперского оставляет желать лучшего). На текущий момент известно (мне, во всяком случае) два основных способа работы этих систем, не считая гибридного способа (очень характерного для теперешних IDS). Первый способ напоминает чем-то работу самого антивируса, с той лишь разницей, что антивирус ищет код вируса, а система обнаружения атак ищет код, который однозначно может означать, что вас атакуют. То есть у этой системы есть такие же базы данных, как и у антивирусов, отсюда явные недостатки, унаследованные от антивирусов, это и ложные срабатывания, и явное запаздывание появление сигнатур в базе данных программы. В принципе ложные срабатывания это бич всех программ безопасности, ничего так не выводит из себя как постоянные сигналы системы безопасности по самым незначительным событиям, все это подрывает доверие к таким программам и чаще всего приводит к полному отказу от использования такой системы обнаружения атак. Есть правда и сомнительный плюс такого подхода, он некоторым образом быстрее, чем остальные.
   Другой способ работы системы обнаружения атак, когда они ищут не код, а какую-нибудь аномалию в работе программ на вашем компьютере. Для реализации этого способа необходимо, чтобы система обнаружения атак провела некоторое изучение вашего компьютера, по-другому это можно назвать процессом обучения системы. Вам потребуется объяснить программе, что является нормальным явлением на вашем компьютере, а все остальное программа будет считать аномалией. Здесь тоже есть некоторые проблемы, одна из которых это как объяснить программе, что есть норма, ведь в момент обучения системы безопасности вас уже могут атаковать, тогда нормой будет считаться атака на ваш компьютер, что уже не очень хорошо. Или, например, вы установили новую программу, которая лезет в интернет, причем совершенно легально, а система безопасности буквально орет, что вас атакуют.
   Поэтому теперешние системы обнаружения атак, как правило, используют оба метода работы, как и любая программа безопасности, системы IDS с каждой новой разработкой впитывают в себя все больше и больше опыта, постепенно устраняя проблемы и недочеты предыдущих версии.
   Отдельно хотелось бы вспомнить интересные разновидности IDS это так называемые ловушки для хакеров (и вирусов тоже, при желании) и сигнализации. Выглядит это примерно так, делается абсолютно ненужный файл, но жутко привлекательный, назвать его, например, passwords или еще как, главное чтобы хакер посчитал этот файл интересным. Система обнаружения атак отслеживает любой вид доступа к таким файлам и сообщает вам немедленно обо всех попытках доступа к этому файлу, эти сигналы будут точным указанием, что вас атакуют, потому что никто и ничто не должно было заинтересоваться этим файлом, кроме злоумышленника. От вирусов тоже можно придумать интересные моменты, например все, знают, что вирусы неравнодушны к разным адресным книгам, рассылая себя по адресам из этих книг, поэтому советую хранить в адресной книге адреса всех антивирусных лабораторий, так вы упростите процесс отсылки вируса для изучения в вирусных лабораториях:)
   Вот пожалуй и все, что я хотел сегодня рассказать.

Вопросы этого выпуска:
Вопрос №1 задает Ольга:
Сколько сетевых экранов может стоять одновременно? Не мешают ли они Друг - другу? У меня есть outpost, avast и брандмауер от ХР? Последний уже стоит, антивирус avast на днях поставил. Там тоже сетевой экран. А теперь думаю: уместно ли будет outpost?
Ответить

От ведущего рассылки: Антивирусы с сетевым экраном уживаются неплохо, хотя если в антивирус встроен сетевой экран, лучше им и пользоваться, либо отключать его (если есть такая возможность). Два сетевых экрана ни к чему хорошему привести не могу, разве что со временем обрушить систему, как два антивируса. Поэтому советую оставить что-нибудь одно, либо антивирус с сетевым экраном, либо антивирус без экрана и отдельно сетевой экран.

Буду рад вам помочь, все вопросы, которые могли появиться у вас или советы по рассылке посылайте на этот e-mail antispyware@bk.ru, по возможности отвечу на все вопросы и пожелания.

Если в Ваших письмах нет прямого запрета на публикацию письма, то я буду считать это за разрешение.
Сайт автора рассылки: http://www.antispyware.5km.org/
В избранное