• Icsa (www.Icsalabs.Com) - International Computer Security Association (Международная Компьютерная Ассоциация по Защите)

• В тестированиях, проводимых ICSA Labs, используется вредоносный код как из собственной «коллекции», так и из списка «In-The-Wild».

• По результатам исследований продуктам выдается сертификат ICSA

• Сертификат получают те антивирусы, которые способны обнаружить 100% вирусов из списка «In-The-Wild», выпущенного за месяц до испытаний и не менее 90% из вирусов собственной коллекции ICSA. Дополнительно антивирусы проверяются на наличие ложных срабатываний. Данный сертификат есть практически у всех более-менее известных антивирусов.

West Сoast Labs/ Checkmark

• West Сoast Labs (www.check-mark.com) — один из мировых лидеров в области тестирования ПО для защиты от угроз. По результатам испытаний в West Сoast Labs антивирусным продуктам выдается сертификат CheckMark.

• В рамках сертификации CheckMark продукты тестируются по категориям. Сегодня это 4 типа испытаний и, соответственно, 4 типа сертификатов:

• Anti-Virus Level 1. Испытываемый продукт должен распознать все вирусы из списка «In the Wild», выпущенного за два месяца до даты тестирования.

• Anti-Virus Level 2. Антивирус, получивший этот сертификат должен не только обнаружить, но и вылечить систему от всех вирусов, найденных в Level 1.

• Trojan. Проверяется возможность антивируса бороться с вредоносным кодом категории «трояны». Тестирование проводится на базе образцов, отобранных специалистами West Coast Labs.

• Spyware. Антивирусы тестируются на способность противостоять «шпионским программам» (spyware). Тестирование проводится на базе образцов, отобранных специалистами West Coast Labs.

Британский «бюллетень»

• Virus Bulletin (www.virusbulletin.com) — наиболее известный и авторитетный в мире британский журнал, посвященный антивирусам

• Успешно прошедшие испытания продукты получают награду “VB100%”.

• В испытаниях используется список (ITW) вирусов, выпущенный за две недели до даты испытаний.

Неизвестные угрозы

• Антивирусная индустрия сталкивается с необходимостью противостоять не только уже обнаруженным вирусам, но также неизвестным угрозам

• Ресурс Андреаса Клименти

www.av-comparatives.org специализируется именно на таких тестированиях.

СПАМ

Спам (англ. spam) — сообщения, массово рассылаемые людям, не дававшим согласие на их получение. В первую очередь, термин «спам» относится к электронным письмам.(ISQ, тел/факс)

В 1986 г. в конференциях Usenet появилось множество одинаковых сообщений от некоего Дэйва Родеса, который рекламировал новую финансовую пирамиду. Заголовок гласил: «Заработай кучу денег», а в письмах содержалась инструкция, как это сделать.

Наиболее распространенные виды спама:

• Реклама

Эта разновидность спама встречается наиболее часто — некоторые компании, занимающиеся легальным бизнесом, рекламируют свои товары или услуги с помощью спама.

Привлекательность такой рекламы заключается в её сравнительно низкой стоимости и (предположительно) большом охвате потенциальных клиентов.

Существует мнение, что, при правильной организации рекламных рассылок, спам действительно может повысить эффективность продаж, не доставляя получателям особого беспокойства

Виды СПАМа

• Реклама незаконной продукции

С помощью спама часто рекламируют продукцию, о которой нельзя сообщить другими способами, например порнографию, лекарственные средства с ограничениями по обороту, ворованную информацию (базы данных), контрафактное ПО...

• Антиреклама

Запрещённая законодательством о рекламе информация — например, порочащая конкурентов и их продукцию, — также может распространяться с помощью спама.

• «Нигерийские письма»

Иногда спам используется для того, чтобы выманить деньги у получателя письма.

Такое письмо содержит сообщение о том, что получатель письма может получить большую сумму денег, а отправитель письма просит перевести ему немного денег под предлогом, например, оформления документов или открытия счета. Выманивание этой суммы и является целью мошенников. Более узкое название этого вида мошенничества — скам или скам 419 (по номеру статьи в УК Нигерии).

• Фишинг

• «Фишинг» (англ. phishing от fishing — рыбалка) — ещё один способ мошенничества с помощью спама. Он представляет собой попытку спамеров выманить у получателя письма номера его кредитных карточек или пароли доступа к системам онлайновых платежей. Такое письмо обычно маскируется под официальное сообщение от администрации банка.

Другие виды СПАМа

• Рассылка писем религиозного содержания или «писем счастья».

• Распространение политической пропаганды.

• Массовая рассылка для вывода почтовой системы из строя (DoS-атака).

• Массовая рассылка от имени другого лица, для того чтобы вызвать к нему негативное отношение.

• Массовая рассылка писем, содержащих компьютерные вирусы (для их начального распространения).

• Рассылка писем, содержащих душещипательную историю с информацией о том, что за каждую пересылку письма некий интернет-провайдер якобы выплатит семье пострадавшего определённую сумму денег «на лечение». Целью такой рассылки является сбор e-mail адресов.

Способы распространения

• Электронная почта

• Usenet

• Мгновенные сообщения

• Доски объявлений

• Форумы

• Блоги и вики

• Сетевые сообщения

• SMS сообщения

Электронная почта

• В

  настоящее время доля вирусов и спама в общем трафике электронной почты составляет по разным оценкам от 70 до 95 процентов

• Спамеры собирают e-mail адреса с помощью специального робота или вручную (редко), используя веб-страницы, конференции Usenet, списки рассылки, электронные доски объявлений, гостевые книги, чаты

• Некоторые компании продают спамерам e-mail адреса своих клиентов, заказавших у них товары или услуги по электронной почте.

• Адреса сначала генерируются случайным образом по заданным шаблонам (от тысячи до миллиона), а потом просто проверяются специальной программой-валидатором на их валидность (существование).

Рассылка СПАМа

• Для рассылки спама используются подключённые к Интернет плохо защищённые или неправильно настроенные компьютеры

• Webmail сервисы, разрешающие анонимный доступ или доступ с простой регистрацией новых пользователей (которую могут выполнить специальные программы-роботы).

• Компьютеры-зомби

Проблемы автоматической фильтрации СПАМа

• Для затруднения автоматической фильтрации спама сообщения часто искажаются — вместо букв используются похожие по начертанию цифры, латинские буквы — вместо русских, в случайных местах добавляются пробелы.

• Письма, содержащие изображения, которые загружаются с сайтов, контролируемых спамерами.

• Ссылки на веб-страницы, на которых предлагается получить дополнительную информацию.

Причиняемый вред

• Спамеру эти рассылки практически ничего не стоят, зато дорого обходятся получателю спама, которому приходится оплачивать своему провайдеру время (или трафик), затраченное на получение непрошеной корреспонденции с почтового сервера и тратить время на обработку бесполезных сообщений.

• В силу массового характера почтовых рассылок, последние затрудняют работу информационных систем и ресурсов,

• Спам может выступать переносчиком троянских программ и компьютерных вирусов

• Спам также наносит вред репутации приверженцам данного способа маркетинга

Способы борьбы со спамом:

• не позволить спамерам узнать свой электронный адрес

• не следует публиковать свой адрес на веб-сайтах или в группах Usenet.

• его можно написать в виде изображения или закодировать наподобие «u_s_e_r_(a)_d_o_m_a_i_n_._n_e_t».

• отправка сообщения по нику

• завести специальный ящик для регистрации и не использовать его для обычной работы.

• не следует отвечать на спам или переходить по содержащимся в нём ссылкам.

• адрес электронной почты, следует, выбрать длинным и неудобным для угадывания

• Можно время от времени менять свой адрес

• !!! все методики сокрытия адреса создают неудобства не только предполагаемым спамерам, но и реальным адресатам.

Фильтрация

• Автоматическая фильтрация

• Неавтоматическая фильтрация

• Черные списки

• Авторизация почтовых серверов

• Серые списки

• Другие

Шпионские программы

SPYWARE

Программы-шпионы

• По адресу http://www.securitylab.ru/virus/1446/ можно ознакомиться со списком Троянов – шпионов

Распространение:

• Эти программы проникают на компьютер под видом adware-компонентов других программ и не имеют возможности деинсталляции пользователем без нарушения функционирования использующей их программы.

• Иногда spyware-компоненты обнаруживаются в весьма распространенных программных продуктах известных на рынке производителей.

Несколько примеров:

• Trojan-Spy.Win32. KeyLogger.qc - Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя.13 ноября, 2007

• Trojan-Spy.Win32. KeyLogger.ba - Троянская программа, отслеживающая клавиатурный ввод пользователя.29 октября, 2007

• Trojan-Spy.Win32. VB.oq - Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя.21 сентября, 2007)

• Trojan-Spy.Win32. Goldun.pu - Троянская программа, предназначенная для похищения регистрационных данных служб веб-платежей. 13 сентября, 2007

• Trojan-Spy.Win32. VB.f - Троянская программа — клавиатурный шпион.

Определение «Spyware»

• Программы, скрытно собирающие различную информацию о пользователе компьютера и затем отправляющие её своему автору.

• Шпионские программы, проникающие на компьютер пользователя при помощи интернет-червей, троянских программ или при атаках хакерами уязвимостей в установленных программных продуктах, в классификации "Лаборатории Касперского" были отнесены к категории TrojanSpy.

Заражение:

• На одной машине, достаточно долго подключенной к Интернету, можно найти более тысячи различных видов шпионского ПО.

• Согласно исследованию America Online, 90% компьютеров заражены spyware.

• По данным EathLink, после каждого посещения интернета, их программное обеспечение отлавливает по меньшей мере 6 шпионских программ, а если учитывать еще и cookie, использующиеся для отслеживания поведения человека в сети, то среднее количество spyware возрастает до 26.

Виды программ - шпионов

• Рекламный софт (Adware)

• Перехват сессии в броузере (Browser session hijackers)

• Средства удаленного администрирования (Remote Administration Tools, сокращенно RATs)

• Агенты слежения (Tracking agents)

• Двойной агент программы-шпиона (Double agent spyware

Adware

• Наиболее распространенный тип spyware — это adware, программное обеспечение, проникающее на компьютер в рекламных целях. Именно из-за него на компьютере неожиданно начинаю выскакивать рекламные окошки и прочая надоедливая реклама.

Пути попадания на ПК:

• Через файлообменные сети, бесплатные программы и скринсейверы, которые пользователь скачивает из интернета.

• Чтобы окупить бесплатность программы, разработчики зачастую встраивают туда spyware, которое собирает информацию о скачавших его пользователях, или adware, показывающее назойливую рекламу.

• зачастую пользователи сами устанавливают себе spyware, соглашаясь с условиями пользования бесплатной программой, даже не вчитываясь в них.

Полезные программы шпионы

• Предназначены для контроля работы на ПК, например:

• Maxapt QuickEye – это мощная система для контроля того, на что уходит рабочее время сотрудников за компьютерами.

• KGB Spy

Maxapt QuickEye

• контролирует рабочее время персонала и осуществляет слежение за работой сотрудников на компьютерах. Среди возможностей программы: контроль и учет рабочего времени сотрудников; мониторинг и учет использования компьютеров; отслеживание и мониторинг действий пользователей; учет программного обеспечения и многое другое.

Проги шпионы наблюдают за вами

Кейлоггеры или Клавиатурные программы-шпионы :

• запоминают данные обо всех нажатиях клавиш, передают их на специальный e-mail

• Фиксируют открытые окна и сайты

• Следят за буфером обмена

• фотографируют экран и пересылают изображения (скриншоты)

• собирают информацию о том, что происходит на компьютере.

Работа программ - шпионов

• Программы-шпионы работают «чисто», то есть не оставляют следов своего присутствия в системе. Это происходит по причине того, что шпионские программы просто не отображаются в процессах компьютера

• Они внедряются в системное ядро, скрываются от антивирусов и используют специальные библиотеки, которые занимаются тем, что следят, чтобы пользователь не смог заметить программу-шпион.

Разновидности шпионов:

• «шпионы» можно встретить в виде программ

• и в виде вполне реальных устройств.

Мониторинговые программы

• Между мониторинговыми продуктами для обеспечения наблюдаемости и продуктами-шпионами очень тонкая грань - это грань между управлением безопасностью и нарушением безопасности

Применение мониторингового ПО позволяет ответсвенному за информационную безопасность :

• локализовать все попытки несанкционированного доступа к конфиденциальной информации с точным указанием времени и сетевого рабочего места, с которого такая попытка осуществлялась;

• определить факты несанкционированной установки программного обеспечения;

• проконтролировать возможность использования персональных компьютеров в нерабочее время и выявить цель такого использования;

• определить все случаи несанкционированного использования модемов в локальной сети путем анализа фактов запуска несанкционированно установленных специализированных приложений;

• определить все случаи набора на клавиатуре критичных слов и словосочетаний, подготовки каких-либо критичных документов, передача которых третьим лицам приведет к материальному ущербу;

Мониторинговое ПО позволяет:

• определить факты нецелевого использования персональных компьютеров:

• получить достоверную информацию, на основании которой будет разрабатываться политика информационной безопасности предприятия;

• контролировать доступ к серверам и персональным компютерам;

• контролировать контакты собственных детей при серфинге в сети Интернет;

• проводить информационный аудит;

• исследовать и расследовать компьютерные инциденты;

• проводить научные исследования, связанные с определением точности, оперативности и адекватности реагирования персонала на внешние воздействия;

• определить загрузку компьютерных рабочих мест предприятия;

• восстановить критическую информацию после сбоев компьютерных систем;

Несанкционированные мониторин-говые программы позволяют:

• несанкционированно перехватывать чужую информацию;

• осуществлять экономический шпионаж;

• осуществлять политический шпионаж;

• получить несанкционированный доступ к системам "банк-клиент";

• получить несанкционированный доступ к ситемам криптографии пользователя персонального компьютера - открытым и закрытым ключам, парольным фразам;

• получить несанкционированный доступ к авторизационным данным кредитных карточек;

Кейлоггеры продолжение

• Программные кейлоггеры, предназначенные для контроля информации, вводимой пользователем персонального компьютера

• опасная особенность всех программ-шпионов и аппаратных устройств-кейлоггеров - регистрация нажатий клавиш, сделанных пользователем, с целью контроля компьютерной активности

Mydoom

• Кейлоггеры могут быть встроены в коммерческие, бесплатные и условно-бесплатные программы, троянские программы, вирусы и черви.

• В качестве примера можно привести недавнюю нашумевшую эпидемию червя Mydoom, который содержал в себе кейлоггер.

Примеры известных программ кейлоггеров:

• Activity Logger, Boss Everyware, Ghost Keylogger, HookDump, IamBigBrother, Invisible KeyLogger Stealth, iOpus STARR, iSpyNOW, KeyCopy, KeyKeeper, KeyKey, KeyLog, KeySpy, Keystroke Reporter, PC Spy, Perfect Keylogger, ProBot, Realtime Spy, Spector Pro, SpyAgent, SpyBuddy, WinWhatWhere Investigator.

Аппаратные кейлоггеры

• Также предназначены для контроля информации, вводимой пользователем персонального компьютера с клавиатуры

• Аппаратные кейлоггеры (keystroke recording device, hardware keylogger ) представляют собой миниатюрные приспособления, которые могут быть прикреплены между клавиатурой и компьютером или встроены в саму клавиатуру. Они регистрируют все нажатия клавиш, сделанные на клавиатуре.

• Особо известны на рынке следующие аппаратные кейлоггеры - KeyKatcher, KeyGhost, MicroGuard, Hardware KeyLogger, производителями которых являются компании Allen Concepts Inc., Amecisco, KeyGhost Ltd., MicroSpy Ltd.

Внешние и внутренние аппаратные кейлоггеры

• Современные аппаратные кейлоггеры представляют собой встроенные приспособления, которые выглядят, как оборудование для ПК.

Внутренние аппаратные кейлоггеры

• Современный внутренний аппаратный кейлоггер представляет собой встроенное приспособление, которое выглядит, как клавиатура ПК.

• Небольшое устройство, внедренное в разрыв шнура клавиатуры и покрытое теплоизоляционным материалом.

Методы противодействия программам-шпионам

• программы, обеспечивающие защиту против ИЗВЕСТНЫХ программ-шпионов с помощью сигнатурного анализа

• программы, обеспечивающиезащиту исключительно только против НЕИЗВЕСТНЫХ программ-шпионов

НЕИЗВЕСТНЫЕ программы-шпионы.

1. разрабатываемые под эгидой правительственных организаций (как пример - продукт Magic Lantern, проект под названием Cyber Knight, США).

2. создаваемые разработчиками различных ОС и включаться ими в состав ядра операционной системы.

3. создаваемые хакерами для похищения критической информации с ПК

4. коммерческие, особенно, корпоративные программные продукты

5. модули включаемые в состав программ-вирусов.

6. Использование комплекса программных продуктов:

Борьба со «Spyware»

1. Продукт, который использует эвристические механизмы защиты

2. Антивирусный программный продукт, использующий постоянно обновляемые сигнатурные базы.

3. Персональный Firewall, контролирующий выход в сеть Интернет

Продукты 2 и3 типа

• Антивирусных программных продуктов, использующих постоянно обновляемые сигнатурные базы, в мире создано великое множество (AVP, Dr.Web, Panda Antivirus, Norton Antivirus и многие другие).

• Персональных межсетевых экранов создано еще больше (Norton Internet Security, BlackICE Defender, GuardianPro Firewall, Tiny Personal Firewall и многие другие).

Продукт 1 типа

• PrivacyKeyboard™ блокирует работу программ-шпионов без использования сигнатурных баз.

PrivacyKeyboard™ имеет в своем составе модули, обеспечивающие:

• защиту от перехвата нажатий клавиш клавиатуры;

• защиту от перехвата текста из окон;

• защиту от снятия изображения рабочего стола;

• защиту от снятия изображения активных окон.

• Для собственной защиты от внешних рапрограмм-шпионов программный продукт PrivacyKeyboard™ имеет систему контроля целостности и другие защитные функции.

Методы противодействия аппаратным кейлоггерам

• Никакие программные продукты не в состоянии определить наличие установленных аппаратных устройств, которые обеспечивают перехват нажатий клавиатуры пользователем ПК

метода противодействия аппаратным кейлоггерам :

• Только физический поиск и устранение аппаратного кейлоггера;

• Использование виртуальных клавиатур для ввода особо важной информации (логины, пароли, коды доступа, PIN коды кредитных карт и т.д.).

Еще заметки о шпионах

TrojanDownloader - программы для несанкционированной загрузки и установки программного обеспечения

Все программы категории TrojanDownloader можно условно подразделить на две категории:

• Универсальные TrojanDownloader - могут загружать любой программный код с любого сервераTrojanDownloader.Win32.Dyfuca, TrojanDownloader.Win32.Swizzor, TrojanDownloader.IstBa ;

• Специализированные - предназначены для загрузки строго определенных типов троянских или шпионских программ. Примером может служить знаменитый Gain_tricler, загружающий программы пакета Gator.

Hijacker

• Задачей программ класса Hijacker является перенастройка параметров браузера, электронной почты или других приложений без разрешения и ведома пользователя

Backdoor- утилита скрытного удаленного управления и администрирования

Backdoor - это программа, основным назначением которой является скрытное управление компьютером.

Она позволяет копировать файлы с пораженного компьютера и наоборот, передавать на пораженный компьютер файлы и программы. Кроме того, обычно Backdoor позволяет получить удаленный доступ к реестру, производить системные операции (перезагрузку ПК, создание новых сететвых ресурсов, модификацию паролей и т.п.). Backdoor по сути открывает атакующему "черный ход" на компьютер пользователя. Опасность Backdoor увеличилась в последнее время в связи с тем, что многие современные сетевые черви или содержат в себе Backdoor-компоненту, или устанавливают ее после заражения ПК. Второй особенностью многих Backdoor программ является то, что они позволяют использовать компьютер пользователя для сканирования сети, проведения сетевых атак взлома сетей - при этом попытки взлома ведутся с ничего не подозревающего компьютера пользователя

Советы по работе в Интернет

• 1. Используйте межсетевую защиту Internet (Брандмауэр).

Межсетевая защита действует как защитная граница между вашим компьютером и внешним миром.

Если Вы используете Windows XP SP2, ваша защита уже включена. Статья www.microsoft.com/Rus/Security/Protect/ICF/Default.mspx

2. Получайте обновления операционной системы и используемых программ. Статья www.microsoft.com/Rus/Security/Protect/Upgrade/Default.mspx

3. Используйте современное и обновляемое программное антивирусное обеспечение.

Статья www.microsoft.com/Rus/Security/Protect/AntiVirus/Default.mspx

4. Не допускайте почтовые жульничества

5. Загрузите anti-spyware программу

6. Используйте сильные пароли

7. Сохраняйте вашу информацию

Программы антишпионы, антитрояны

• MicrosoftAntiSpyware ( 6,23 Mb)

• SpyBot - Search & Destroy (3,6 Mb) Freeware, ©'2000

• или Tauscan - антивирусный сканнер, специально разработанный компанией Agnitum , статья о нем на www.infobez.ru

• ASWPro

• Программы антиспам

POP3 Cleaner 2.1

Анти-СПАМ, 1.03

Программы Firewallы

ФайрволыБФайерволы, брандмауэры, или межсетевые экраны - программы защиты компьютера от внешних вторжений через сеть Интернет

-Comodo Firewall 2.4

-Персональный брандмауэр Outpost Firewall (2,6 Mb) Freeware

-PC Tools Firewall Plus™ 2.0

-FireWall FREE

-Jetico Personal Firewall

Комплексная защита

• Kaspersky Internet Security 7.0

• Norton AntiVirus

• Acronis Privacy Expert Suite 9.0

• AGAVA AntiSpy

• BitDefender Antivirus 2008 +BitDefender Client Security +BitDefender Internet Security 2008

• THE END