1 / 84

Защита домашних ПК и рабочих станций от вредоносного ПО

Защита домашних ПК и рабочих станций от вредоносного ПО. Безмалый Владимир MVP Consumer Security Microsoft Security Trusted Advisor vladb@windowslive.com http://vladbez.spaces.live.com. Почему антивирусное ПО не панацея?.

velika
Download Presentation

Защита домашних ПК и рабочих станций от вредоносного ПО

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Защита домашних ПК и рабочих станций от вредоносного ПО Безмалый Владимир MVP Consumer Security Microsoft Security Trusted Advisor vladb@windowslive.com http://vladbez.spaces.live.com

  2. Почему антивирусное ПО не панацея?

  3. Тенденции роста числа образцов вредоносного ПО (по данным MicrosoftMalwareProtectionCenter)

  4. Страшные цифры от Panda Security • В 2009 году Россия стала второй по степени заражения компьютерного парка: почти 57% машин, проверенных средствами PandaSecurity, содержали вредоносные компоненты. http://seo-bomb.ru/pandalabs-57-protsentov-rossiiskikh-kompyuterov-zarazheny.html

  5. Страны, в которых отмечено наибольшее количество попыток заражения через веб в марте 2010 года

  6. Итоги марта месяца по сведениям Лаборатории Касперского • Cредиатак на пользователей преобладают атаки через веб с использованием регулярно появляющихся уязвимостей в популярном ПО. • Чаще всего уязвимости оперативно исправляются производителем. К сожалению, далеко не все пользователи своевременно устанавливают эти исправления. • В последнее время все больше зловредов в ходе атак используют доверчивость и неопытность пользователя. • http://www.securelist.com/ru/analysis/208050627/Reyting_vredonosnykh_programm_mart_2010

  7. Что этому противопоставить? • Комплекс мероприятий по недопущению заражения на самом ПК • Проактивную защиту в самих антивирусах, которая заведомо будет ослаблена неумением пользователя ее использовать.

  8. Вывод • Нужен комплекс мероприятий, которые будут препятствовать проникновению вредоносного ПО на наш ПК

  9. Перечень мероприятий • Запрет на работу с правами администратора • Обновление ПО как средство обеспечения безопасности • Обновление ОС • Обновление прикладного ПО

  10. Перечень мероприятий • Лицензионная чистота как правило безопасности • Настройка безопасной работы в Интернет • Правила работы с электронной почтой

  11. Перечень мероприятий • Правила работы с социальными сетями • Во что играют наши дети и влияние игр на безопасность ПК. • Воспитание (образование) пользователей

  12. Не работайте с правами администратора! • Несмотря на то, что Microsoft говорит об этом уже далеко не впервые, тем не менее, пользователи, а зачастую, увы, и авторы ПО остаются глухими к этой просьбе. • Большинство уязвимостей Windows 7 нельзя использовать, если пользователь не имеет прав администратора.

  13. Другие типичные ошибки • Установка приложений с непродуманными разрешениями NTFS и недостаточное внимание к защите конфиденциальных данных. • Например, данные о конфигурации и даже пароли учетных записей многих приложений от независимых поставщиков хранятся в реестре или локальном файле конфигурации. • Можно обратиться к поставщику с вопросом о специальных мерах обеспечения дополнительной безопасности продукта. К сожалению, многие компании не дают таких рекомендаций.

  14. Другие типичные ошибки • Сразу после установки приложения нужно исследовать файлы в его каталоге ProgramFiles. • Последний этап - назначение паролей приложения.

  15. Другие типичные ошибки • Если в программе можно изменить имя пользователя, то следует избегать типовых и легко угадываемых имен. • Не забудьте удалить все стандартные пользовательские и демонстрационные учетные записи в приложении. • Самый надежный способ обезопасить приложение - дать ему только необходимые полномочия для выполнения соответствующей роли.

  16. Другие типичные ошибки • Следует ограничить доступ к файловой системе и реестру и запретить доступ к определенным системным правам и полномочиям, таким как возможность входа через сеть. • К сожалению, многие разработчики не принимают во внимание возможность запуска их программ пользователями, не имеющими административных полномочий.

  17. Обновление ОС и прикладного ПО, как средство безопасности

  18. Несовершенство операционных систем и программного обеспечения • Большинство хакерских атак становится возможными из-за наличия уязвимостей в существующих ОС и ПО. • Статистика показывает, что количество уязвимостей растет год от года.

  19. Использование Центра обновления Windows и Центра обновления Майкрософт

  20. Различия в обновлениях • В Центре обновления Windows предоставляются обновления компонентов Windows и драйверов устройств, предоставляемых корпорацией Майкрософт и другими поставщиками оборудования. • В Центре обновления Майкрософт(http://update.microsoft.com/microsoftupdate) предоставляются все обновления, предлагаемые в Центре обновления Windows, а также обновления другого программного обеспечения Майкрософт.

  21. Количество уязвимостей в прикладном ПО компаний под ОС Windows

  22. И грустно и смешно! (данные Отчета Microsoft по безопасности выпуск 8 (июль-декабрь 2009 года) • Возраст большинства уязвимостей, использованных в предложенной выборке данных, составляет несколько лет, и для всех них были выпущены обновления для системы безопасности. Треть из них впервые была идентифицирована в 2006 году. • В 75,7% атак использовалась одна уязвимость (CVE-2006-2492, уязвимость Microsoft Word, связанная с неправильно сформированным указателем объектов), для которой на конец 2009 года уже более трех лет было доступно исправление безопасности.

  23. И грустно и смешно! • В 75,7% атак использовалась одна уязвимость (CVE-2006-2492, уязвимость Microsoft Word, связанная с неправильно сформированным указателем объектов), для которой на конец 2009 года уже более трех лет было доступно исправление безопасности. • В большинстве атак, были задействованы компьютеры с сильно устаревшими установками программ Office.

  24. И грустно и смешно! • Более половины (56,2%) атак была направлена на установки программ Office, которые не обновлялись с 2003 года. • Большая часть этих атак нанесла ущерб пользователям Office 2003, которые не установили ни одного пакета обновления или обновления для системы безопасности со времени выхода первоначальной версии Office 2003 в октябре 2003 года.

  25. Страшные цифры • Нередко жертвы атак на основе эксплойтов для программ Office обладали намного более современными установками Windows. Почти от двух третей (62,7%) атак против Office, зарегистрированных во второй половине 2009 года, пострадали компьютеры с версиями Windows, которые обновлялись в течение предыдущих 12 месяцев. • Для компьютеров из выборки с момента последнего обновления операционной системы в среднем прошло 8,5 месяца, тогда как с момента последнего обновления программ Office прошло 6,1 года, что почти в девять раз дольше.

  26. Mac OS • В 2009 году продолжалось активное исследование со стороны преступников. Стоит отметить, что на вирусные угрозы для Mac внимание обратила даже компания Apple, встроившая некое подобие антивирусного сканера в новую версию ОС (ранее представители Apple утверждали, что Mac OS вредоносные программы не угрожают).

  27. Проблемы пиратских продуктов

  28. Неправильная работа пиратского ПО • При использовании пиратского ПО стоит понимать, что никто и никогда не сможет гарантировать вам правильность работы того или иного компонента вашего ПО. • Найти правильно взломанную программу иногда сложнее, чем ее купить. При использовании некоторых прикладных программ правильность работы всех компонентов может гарантировать только регулярное обновление такого ПО. • Наличие не обновляемого или не регулярно обновляемого антивирусного ПО это гораздо хуже, чем вообще отсутствие такого ПО.

  29. Отсутствие технической поддержки • Еще одним риском является отсутствие необходимой технической поддержки. • Несмотря на то, что иногда качество технической поддержки у некоторых вендоров может вызывать законное возмущение, в целом пренебрегать такого рода поддержкой не стоит. • Естественно, при использовании пиратской копии ПО о такого рода услуге можно просто забыть.

  30. Возможное внедрение вредоносного ПО • Но самым опасным из возможных рисков является возможное внедрение различных программных закладок в пиратское ПО. И только тот, кто реально занимался изготовлением пиратской копии, может знать какие закладки и где будут установлены. Говорить о возможном отсутствии «закладок» в таком ПО не возьмется ни один отъявленный оптимист. • В качестве примера хотелось бы привести недавно увиденную копию нелицензионной операционной системы Windows XP. После установки ОС автоматически производилась установка вредоносного ПО.

  31. Проблема доверия • Главной проблемой при использовании любого программного обеспечения является проблема доверия к его авторам. • И если в случае лицензионного ПО у нас есть хотя бы формальные признаки авторов, которым мы можем доверять (или не доверять), то в случае использования пиратского ПО у нас нет даже таких формальных признаков.

  32. Отслеживание программ в автозагрузке

  33. Способы отслеживания автозагрузки • Msconfig • Отслеживание изменений реестра • Autorunshttp://technet.microsoft.com/en-us/sysinternals/bb963902.aspx

  34. Autoruns

  35. Средства обеспечения безопасности в InternetExplorer 8

  36. Средства обеспечения безопасности в InternetExplorer8 • фильтр SmartScreen; • защита от фишинга и вредоносных программ; • защита от ClickJacking; • фильтр запуска сценариев между узлами (XSS);

  37. Средства обеспечения безопасности в InternetExplorer8 • выделение домена; • защищенный режим InternetExplorer; • явное согласие на запуск элементов ActiveX; • просмотр в режиме InPrivate; • фильтрация InPrivate. • DEP (Data Execution Protection/NX)

  38. Фильтр SmartScreen • Сегодня в состав Internet Explorer 8 включен фильтр SmartScreen–набор технологий предназначенный для защиты пользователей от возможных интернет-угроз, в том числе угроз социальной инженерии. • SmartScreenфильтр предназначен для защиты пользователей от известных вредоносных веб-узлов, а кроме того, данный фильтр включает защиту от ClickJacking, технологии, применяемой для перехвата клавиш, искажения веб-страниц и т.д.

  39. Включить SmartScreen В меню InternetExplorer 8 выбрать Безопасность. В выпадающем меню выбрать фильтр SmartScreen Включить SmartScreen

  40. Несколько цифр • С начала марта 2009 года SmartScreen заблокировал более 560 млн. попыток загрузки вредоносного ПО. • Ежечасно SmartScreen блокирует более 125 000 потенциально небезопасных сайтов и программ • Каждую минуту – почти 2 000 потенциально опасных загрузок

  41. Защита от фишинга и вредоносных программ (по данным лаборатории NSS Labs)

  42. Три способа защиты от мошеннических и вредоносных узлов • Сравнение адреса посещаемого сайта со списком известных сайтов. Если сайт найден в этом списке, больше проверок не производится • Анализ сайта на предмет наличия признаков, характерных для мошеннических сайтов • Отправка адреса сайта, на который пользователь собирается зайти, онлайн службе Microsoft, которая ищет сайт в списке фишинговых и вредоносных сайтов. При этом доступ к онлайн службе производится асинхронно по SSL-соединению, так что это не сказывается на скорости загрузки страниц

  43. Работа фильтра SmartScreen • Работа фильтра SmartScreenосновывается на службе Microsoft URL ReputationService (URS) • Чтобы уменьшить сетевой трафик, на клиентском компьютере хранится зашифрованный DAT-файл со списком тысяч наиболее посещаемых узлов; все включенные в этот список узлы не подвергаются проверке фильтром SmartScreen. • В фильтре SmartScreen применяется механизм локального кэширования адресов URL, позволяющий сохранять ранее полученные рейтинги узлов и избежать лишних обращений по сети.

  44. Использование групповой политики • Конфигурация пользователя\Административные шаблоны\Компоненты Windows\InternetExplorer\Панель управления обозревателем\Страница безопасности\<зона>

  45. Параметры групповой политики • Конфигурация пользователя\Административные шаблоны\Компоненты Windows\InternetExplorer

  46. Защита от ClickJacking • По умолчанию данная фугкция всегда включена и не может быть выключена. • Перехват щелчка, или ClickJacking, происходит, когда атакующему удается обманом заставить пользователя щелкнуть по содержимому, полученному из другого домена. • Против техники ClickJacking большинство мер противодействия подделке HTTP-запросов (CSRF – cross-siterequestforgery) бессильны, и атакующий может использовать ее для изменения конфигурации надстроек над обозревателем небезопасным образом.

  47. Функция «Фильтр запуска сценариев между узлами (XSS)» • Данная функция предназначена для защиты пользователя от некоторых видов атак на серверные приложения. • Данные атаки зазываются «атаки типа 1» или «атаки отражением». Как правило при этом некоторый код в форме сценария передается на веб-сервер, а затем возвращается пользователю. Например, информация, отправленная браузером, без проверки используется серверным сценарием для генерации страницы, посылаемой пользователю. Если входная информация не проверяется, то отправленные пользователем данные могут быть включены в результирующую страницу без HTML-кодирования и код введенный на стороне клиента, «отразится» на странице, посылаемой другому пользователю.

  48. Параметры фильтра запуска сценариев между узлами (XSS) • Конфигурация пользователя\Административные шаблоны\Компоненты Windows\InternetExplorer\Панель управления обозревателем\Страница безопасности\<зона>

  49. Выделение домена • При использовании InternetExplorer 8 пользователь прежде всего увидит изменение во внешнеем виде адресной строки. • Функция выделение домена автоматически выделяет черным цветом ту часть адресной строки, которую можно считать основным доменом просматриваемого узла. • Выделение строки включено всегда и отключить его нельзя.

  50. Защищенный режим InternetExplorer • Данный режим доступен на компьютерах под управлением Windows 7 и WindowsVista. Защищённый режим реализует дополнительные меры защиты, разрешая приложению доступ только к определенным участкам файловой системы и реестра. Кроме того, этот режим не дает вредоносному ПО перехватить управление обозревателем и выполнить код с повышенными привилегиями.

More Related