A: Как защитится от вирусов, полученных из Интернет?
Проводя параллель между вирусами биологическими и вирусами компьютерными, можно заключить: причина практически всех болезней – несоблюдение элементарных гигиенических требований и неразборчивость в выборе партнеров. Типичный компьютерный пользователь похож на маленького ребенка все без разбору тянущего в рот. Если не вирус, так расстройство желудка себя не заставит ждать.
??? рисунок "карикатура" Ребенок тянем в рот всякий мусор. Картинка вторая – ребенок лежит кверху лапами со вздутым животом (вариант – сидит на горшке)
Проблема ведь не только в вирусах, – порой не меньшие разрушения приносят вполне легальные, но сильно "кривые" программы. В особенности это касается дисковых и файловых утилит – частенько после их работы все данные, хранящиеся на винчестере, приходят в полную негодность. Даже ведущих производителей гложут смутные сомнения насчет безгрешности своей продукции, и неспроста – та же Symantec с головы до ног оплевана жалобами пользователей, рыдающих над остатками своих жестких дисков. А все потому, что поставили старого "Доктора" на новую версию Windows. Но кто же мог знать?! И даже вполне безобидные на вид приложения, наподобие календаря или организатора, могут так испортить систему, что ее придется переустанавливать заново!
Первая линия обороны "Карантин": В идеале – каждая новая программа должна проходить "карантин" – тщательное тестирование на отдельном, специально для этого предназначенном, компьютере, на котором нет ничего ценного, что было бы жалко потерять. В крайнем случае, если на второй компьютер не хватает средств, для карантина подойдет и отдельный жесткий диск (можно небольшого размера) – необходимо лишь подключить его так, чтобы программы, запущенные на нем, не "видели" основного диска и при всем своем желании не могли до него "дотянуться".
Этого можно добиться, подцепив "карантинный" диск на отдельный шлейф к "своему" контроллеру IDE. Большинство BIOS позволяют выборочно отключать IDE-контроллеры. "Ответственный" за такую операцию пункт обычно звучит как "Onboard IDE" (интегрированный в материнскую плату IDE) и предлагает на выбор: "Primary" (включен только первый контроллер, разъем которого обычно помечен IDE-0), "Secondary" (включен только второй контроллер – IDE-1), "Both" (включены оба контроллера, - состояние по умолчанию) и "Disabled" (выключены оба контроллера). При отключении первого контроллера, скорее всего, потребуется "научить" BIOS загружаться со второго (не все это умеют делать по умолчанию). Для этого найдите в настройках строку наподобие "Boot device" (загрузочное устройство) и установить ее в "Boot from IDE-1" (Загружаться с IDE-1) или "Boot form secondary IDE". (Загружаться со второго IDE).
Если нет возможности купить даже самый захудалый винчестер, остается тестировать программы на "кошках", - ваших приятелях, устанавливая на свой компьютер только проверенные на чужой шкуре приложения.
"Карантин" сам по себе никаких гарантий не дает и не всегда предотвращает вторжение вирусов, но многократно снижает вероятность любых неприятных происшествий. Если этого недостаточно, второй линией обороны следует расположить антивирусы.
Вторая линия обороны "Антивирусы": Грубо все антивирусы можно разделить на три категории – детекторы (+фаги), мониторы
и ревизоры.
Детекторы
занимаются поиском известных им вирусов в файлах, загрузочных секторах, памяти и т.д., а фаги лечат то, что находят детекторы; мониторы – обнаруживают и по возможности предотвращают некоторые потенциально опасные – с их точки зрения – действия; ревизоры
периодически проверяют файлы на предмет появления любых изменений.
Всем антивирусам присущи определенные недостатки: детекторы не в состоянии обнаруживать новую или видоизмененную заразу – интеллект эвристических анализаторов на сегодняшний день уступает интеллекту вирусописателей, и на эвристике ловятся только самые примитивные вирусы, написанные школьниками, только-только постигающими азы программирования (см. "Подари врагу антивирус!"). Еще проще для вирусописателя перехитрить мониторы, которые, кстати, совершенно бессмысленны в "нормальных" операционных системах наподобие Windows 2000, самостоятельно пресекающих все противоправные действия программного обеспечения. Ревизоры же вообще не препятствуют жизнедеятельности вирусов, а всего лишь позволяют обнаружить их распространение – заражая файл, вирус неизбежно вносит в него изменения, демаскируя свое присутствие в системе. Однако, не размножающиеся зловредные программы, скажем клавиатурные шпионы или "добытчики" паролей (см. "Как предотвратить похищение моего Интернет пароля?#Похищение"), ревизор обнаружить не сможет! К тому же, ревизоры очень плохо справляются с контролем документов – средой обитания макровирусов. Ведь документы, в отличие от исполняемых файлов, интенсивно изменяются пользователем! Попробуй, тут разберись – то ли вирус их заразил, то ли пользователь отредактировал!
Переход на Windows 2000 (см. " В чем преимущества Windows 2000 по сравнению с 9x?") позволяет одним махом решить множество проблем. Во-первых, в силу отличий Windows 2000 от Windows 9x, большинство вирусов и троянских программ под ней просто "не живет", во-вторых, она позволяет защищать критические файлы, запрещая их удаление и модификацию, в-третьих, ее файловая система – NTFS – практически не поддается разрушению – разве что все с самим винчестером; в-четвертых… но, несмотря на всю защищенность, с Windows 2000 прекрасно уживаются макровирусы, поскольку средой их обитания является не операционная система, а само приложение, обрабатывающее документ.
Макровирусы: документы "дырявого" Microsoft Office давно стали стандартом де-факто и отказаться от их использования уже невозможно. Проблема усугубляется тем, что подавляющее большинство пользователей игнорирует рекомендации распространять файлы в форматах, гарантированно не содержащих макросов (например RTF), чем ставит своих получателей в тупик. Например, как быть, если Big-Boss прислал свой ответ в формате Word? Просить его сохранить файл как RTF и повторить пересылку? Сомнительно, чтобы Big-Boss получил от всего этого удовольствие, если ему вообще удастся объяснить что такое RTF.
Уменьшить риск вторжения макровирусов можно запрещением модификации файлов Normal.dot и eefonts.dot (последний – только для Word 2000) – эти файлы излюбленное место обитания макровирусов. Перед установкой защиты рекомендуется на всякий случай удалить Normal.dot, - работоспособность Word-а это не нарушит, – он вновь воссоздаст его при следующем запуске, а вот зараза (если Normal.dot был заражен) будет удалена гарантированно! Правда, вместе с ней погибнут и все личные настройки, например, переопределенные комбинации клавиш, пользовательские стили и т.д. Но в большинстве случаев их можно быстро определить вновь!
Существует один замечательный способ гарантированно (ну, почти, гарантированно) избежать заражения – достаточно лишь открыть документ приложением, заведомо не поддерживающим макросы. Например, редактор "WordPad", входящий в штатную поставку Windows, корректно отображает большинство Word-документов, игнорируя при этом макросы. А утилита "Быстрый просмотр" (также поставляется вместе с Windows, но не устанавливается по умолчанию) позволяет просматривать файлы, созданные и Word, и Excel, и многими другими приложениями, не рискуя подцепить заразу! Чтобы открыть с ее помощью документ, просто щелкните по нему правой кнопкой мыша, выбрав в контекстном меню пункт "Быстрый просмотр". Если такого пункта нет, в "Панели управления" кликните по значку "Установка и удаление программ", перейдите к закладке "Установка Windows", выберите "Стандартные", войдите в них через "Состав" и установите галочку напротив "Быстрый просмотр".
Как и следует из его названия, "Быстрый просмотр" предназначен только для просмотра, но не редактирования документов. А как же быть, если файл требуется не только смотреть, но и работать с ним? На помощь приходит буфер обмена – "выделяем все", создаем новый документ в соответствующем приложении и копируем в него содержимое оригинального документа, автоматически оставляя макросы "за бортом"! Не очень-то удобно, но более короткого пути, по-видимому, не существует.
Всей этой суеты не потребовалось, умей бы Office запрещать выполнение макросов в документах. Вообще-то, такая опция там есть, но срабатывает она далеко не всегда. Злоумышленник может создать макрос, который защита не увидит! В Office 2000 ситуация значительно улучшена, но не все исправлено до конца, к тому же Microsoft так и не сообщает какие именно дыры заткнуты.
Особо стоить отметить ошибки переполнения – не вдаваясь в технические подробности {>>>> сноска Подробнее об ошибках переполнения рассказывается в книге Криса Касперски "Техника сетевых атак"} образно их можно представить так: программист отводит для некоторых целей буфер, а затем заполняет его данными, не проверяя влезают ли они в него или нет. Рано или поздно данные действительно не влезают и затирают память за концом буфера. Очень часто при этом искажаются служебные структуры, например, сохраненный адрес возврата, регистр кадра стека и т.д. Специально подобранной строкой данных злоумышленник может так исказить адрес возврата, чтобы процессор начал выполнять данные, введенные злоумышленником, как код! Теоретически возможно подхватить вирус простым чтением текстового файла! Это не миф параноика, а суровая действительность нашей жизни. Яркий пример – ошибка почтовой программы Outlook Express 5.5 позволяет заразиться еще на стадии приема сообщения с сервера, - задолго до того, как присланное вас письмо успеют проверить антивирусы!
???? Рисунок "карикатура" человек льет в чайник воду из ведра. Вода выливается из носика и обливает человека.
???? Рисунок "карикатура" человек открывает письмо, а оттуда выглядывает (выпрыгивает) злобный вирус
Для устранения ошибок фирмы-производители периодически выпускают "заплатки", выкладывая их на собственный web-сервер. Настоятельно рекомендуется своевременно скачивать и устанавливать их! Чтобы быть постоянно в курсе событий подпишитесь на какую-нибудь рассылку по безопасности (см. "Где можно узнать о самых свежих дырках и последних обновлениях приложений?")
Третья линия обороны – резервное копирование. Им не следует пренебрегать никогда. Вложения в накопители и носители информации, может быть, не окупаются явно, но сводят к минимуму убытки от "стихийных бедствий" – будь то вирус или физическое разрушение винчестера. (Кстати, кража компьютера также приводит к потере информации, и, чтобы вместе с компьютером не утащили резервные копии, следует хранить их отдельно; по крайней мере, диск с самыми ценными наработками должен находиться в недосягаемом для грабителей месте – например, его можно сдать в банк или надежному приятелю).
Политика резервирования – дело сугубо индивидуальное, например, автор резервируется каждый день. Но, в любом случае, это следует делать не реже, чем раз в неделю. При этом ни в коем случае недопустимо замещать старые файлы новыми! Никогда нельзя быть уверенным наверняка, что резервируемая информация уже
не искажена! Допустим, вы набираете реферат и периодически "сбрасываете" его на дискету, записывая поверх прежней копии. Предположим, в какой-то момент файл поражается вирусом, произвольным образом переставляющим слова в тексте или "съедающим" некоторые буквы. Если это не будет замечено сразу (а, чем длиннее документ, тем труднее обнаружить его искажение), в архив попадет испорченная копия, а оригинальная будет утеряна.
В идеальном случае старые копии должны уничтожаться только после завершения проекта (Например, после того как написан реферат, все промежуточные наработки могут быть безболезненно удалены). Однако на практике обходятся гораздо меньшим числом копий, надеясь, что разрушения информации (если таковые будет иметь место) удастся заметить раньше, чем будет затерт последний неискаженный файл. В большинстве случаев (но не всегда!) эти надежды оправдываются. С другой стороны, какой смысл хранить очень древнюю версию документа, если с тех пор он был значительно переработан и изменен?
Следование всем приведенным выше рекомендациям обеспечивает практически полную неуязвимость ваших данных, оберегая их от всех мыслимых и немыслимых бедствий (ну, пожалуй, за исключением землетрясений, наводнений и цунами).
Краткое повторение основных мыслей главы: поставьте себе Windows 2000 и регулярно устанавливайте все обновления и заплатки; испытывайте все новые программы на "карантинном" жестком диске (компьютере); для открытия документов пользуйтесь утилитой "Быстрый просмотр" или аналогичной ей; наконец, никогда не забывайте о пользе резервирования.
Родственные вопросы:
Подари врагу антивирус!
Как предотвратить похищение моего Интернет пароля?#Похищение
В чем преимущества Windows 2000 по сравнению с 9x?
Где можно узнать о самых свежих дырках и последних обновлениях приложений?
