Антивирус в голове (Что делать и чего не делать в Интернете)
В статье:
Почему нельзя полностью доверять техническим средствам защиты
Как отличить ссылку на вредоносный ресурс
Необходимо ли ограничение интернет-доступа
Как отличить поддельную программу от настоящей
Как не попасться на уловки мошенников
Почему нельзя полностью доверять техническим средствам защиты
Антивирус – это хорошо или плохо? Кто-то скажет: «Без антивируса никуда, только решишь какой-нибудь дистрибутив скачать, так тут же трояны полезут». Другой возразит: «У меня только компьютер тормозит, а вирусов отродясь не было, нечего по “грязным” сайтам ходить». К сожалению, в Интернете даже привычный знакомый сайт может оказаться источником заразы. А то, что пользователь сам не замечает вирусов, вовсе не доказывает, будто компьютер действительно чист. Тем не менее многочисленные тестирования и опыт показывает, что идеальных антивирусных решений, которые на 100% гарантировали бы защиту от вредоносных программ, не существует. Почему? Да хотя бы в силу особенностей их создания. Ведь антивирусы являются ответом на информационные угрозы. Так же как пожарные реагируют на сигнал о возгорании, антивирусы реагируют на появление новых угроз. Разумеется, вирусные аналитики пытаются спрогнозировать, где «загорится», каким может быть новый вирус, каковы его характерные признаки. Совокупность средств, позволяющих антивирусным продуктам выявлять и обезвреживать незнакомые вредоносные программы, называется эвристическими технологиями, или эвристикой. И если по уровню детектирования знакомых угроз возможности антивирусов примерно равны, то качество эвристических технологий разнится от продукта к продукту. Собственно, во многих случаях именно эффективность эвристики является особенностью антивируса.
Если обратиться к результатам независимых тестирований антивирусов, наиболее авторитетные из которых Virus Bulletin и AV-Comparatives, можно понять примерный уровень распознавания вирусных угроз. Virus Bulletin специально высчитывает комплексный показатель RAP (Reactive and Proactive), отражающий способность антивирусов детектировать как уже относительно старые сэмплы, так и новые вирусы. Для лучших продуктов этот показатель составляет около 90%. Хотя за все время проведения тестирований Virus Bulletin (с 1998 года) ни одному продукту не удалось без ошибок пройти все тесты (см. диаграмму).
Диаграмма. Соотношение успешных и неудачных тестирований Virus Bulletin (указаны наиболее успешные из антивирусов, не менее 15 раз участвовавших в тестировании).
Как отличить ссылку на вредоносный ресурс
Априори любой интернет-сайт следует считать потенциально опасным. Дело в том, что даже хорошо знакомый, доверенный ресурс может неожиданно оказаться инфицированным. Известно много случаев заражения популярных интернет-страниц солидных организаций. Например, совсем недавно, в августе 2010 года зараженным оказался белорусский сайт ООН. Ранее в этом году вредоносный код попадал на сайт Московского метрополитена и русскоязычную страницу ООН. Абсолютно надежных ресурсов нет; взламывают сайты и компаний из области информационной безопасности. В частности, бывал зараженным сайт Лаборатории Касперского и других вендоров. Для злоумышленников подобные сайты – что золотая жила. Пользователи даже мысли не допускают, будто могут на них что-нибудь «подцепить».
Еще несколько слов о взломе сайтов. Чаще всего взлом осуществляется для двух взаимно противоположных целей. Первая – так называемый дефейс (подмена лица сайта) – обычно осуществляется с целью хулиганства или агитации. Пользователь заходит на любимый ресурс, но вместо привычного интерфейса видит картинки для взрослых, рекламу или какие-нибудь призывы. В качестве примера дефейса можно привести прошлогоднюю атаку иранских хакеров, в результате которой вместо заглавной страницы сети Twitter отображались предостережения по поводу американской агрессии. Вторая цель – скрытное (drive-by) размещение вредоносного ПО. В этом случае пользователь долгое время не догадывается о том, что сайт способен угрожать безопасности компьютера, поскольку выглядит он как «хороший» сайт и ведет себя адекватно. Однако помимо своей основной работы в фоновом режиме загружает еще и вредоносные программы на ПК посетителей.
При веб-навигации хорошей практикой является контроль ссылок в адресной строке – ведь при заходе на зараженный сайт нередко происходит перенаправление. То есть пользователь оказывается не на той странице, адрес которой вводил в браузере, а на сайте с эксплойтами. Если вы замечаете, что, к примеру, вместо адреса www.site.ru в браузере написан адрес www.saite.ru, хотя совершенно точно набирали первый вариант, уходите с этой страницы и запускайте проверку компьютера антивирусом.
Впрочем, злоумышленники способны подменять и значение адресной строки. Кроме того, в мае текущего года один из разработчиков Mozilla Firefox Аза Раскин (Aza Raskin) продемонстрировал реализацию нового типа кибератак, названного табнэппингом. При табнэппинге происходит подмена содержимого браузера при перемещении по вкладкам.
Еще одна разновидность атак, эксплуатирующих невнимательность пользователей, – фишинг. Злоумышленники создают сайт внешне трудно отличимый от оригинала. Попадая на визуально знакомую страницу, посетитель, не задумываясь, вводит свои учетные данные, логин и пароль, которые отправляются прямиком к злоумышленникам. Очень часто с помощью фишинговых сайтов мошенники добывают пароли от электронной почты и различных онлайновых платежных систем.
Необходимо ли ограничение интернет-доступа
Во многих компаниях существуют строгие политики в отношении применения сетевых ресурсов. ICQ – закрыть. Блоги – запретить. Новостные сайты, видео-хостинги, веб-почта и многое другое идет под нож веб-фильтра. Причин установки ограничений много. Это и потеря рабочего времени, и повышенный расход трафика, и, наконец, риски распространения вредоносного ПО. Действительно ли запрет интернет-ресурсов поможет избежать заражения? Несомненно. Чем меньше сайтов посещает пользователь, чем меньше коммуникационных каналов использует компьютер, тем ниже вероятность подхватить вирус. Но здесь важно не перегнуть палку: ведь если запретительные меры ужесточать, можно дойти до абсурдного отказа от работы на компьютере. Мессенджеры в корпоративной среде принято считать излишеством, пустой тратой времени сотрудников. Однако во многих организациях программы обмена мгновенными сообщениями для внутренних и внешних коммуникаций стали корпоративным стандартом. Потому что преимущества, которые они предлагают, перевешивают сопутствующие риски. Другое дело, что пользоваться «аськой» надо с умом. Не стоит открывать ссылки от людей не из контакт-листа и с большой осторожностью следует открывать неизвестные ссылки от друзей, поскольку их аккаунт может быть скомпрометирован и использоваться злоумышленником.
«В августе нынешнего года много внимания в прессе было уделено червю Snatch или Win32/QiMiral.AC по классификации ESET, – говорит Александр Матросов, руководитель Центра вирусных исследований и аналитики российского представительства ESET. – Вирус отличался именно способностью вести простейшую переписку, чтобы убедить пользователя, что на другом конце находится человек, а не вредоносная программа. В результате наивные люди охотно скачивали и запускали зараженный файл».
Как отличить поддельную программу от настоящей
Вредоносные программы, которые маскируются под полезные (трояны), известны уже много лет. Однако злоумышленники становятся все более изощренными в методах их распространения. При переходе на страницу, где должен быть обещанный видеоролик, выводится сообщение, что в системе не хватает кодеков. Пользователь охотно скачивает и устанавливает «кодек», который на деле является вредоносной программой. Другой распространенный сценарий – предложение обновить какую-нибудь программу, например флэш-плеер для корректного отображения содержимого интернет-страницы.
Как отличить правильную программу от вредоносной? Прежде всего, следите за предупреждениями системы. «Левые» программы не имеют действительных сертификатов. Сертификаты могут быть самоподписанными или просроченными. Не доверяйте таким сертификатам. Далее, можно отслеживать ссылки на сайты, с которых скачиваются программы. Обычно, обновления находятся на официальном домене вендора. Как вариант, отказывайтесь от автоматической загрузки, переходите на сайт производителя и скачивайте обновления оттуда.
Один из свежих трендов последних лет – появление большого количества поддельных программ-антивирусов. Когда пользователь видит незнакомое предупреждение о том, что на его компьютере обнаружены вирусы, он охотно принимает предложение скачать и установить защиту. Однако вместо настоящего антивируса на компьютер скачивается пакет вредоносных программ, позволяющих воровать информацию, удаленно использовать ресурсы компьютера и т. д. Способы монетизации могут быть разными, в частности, лечение от вирусов за реальные деньги, приобретение «лицензии» на продукт, создание и дальнейшая перепродажа бот-сети.
Как не попасться на уловки мошенников
В заключение приведем несколько общих рекомендаций, которые помогут пользователям уменьшить риски заражения и не попасться на уловки мошенников.
- Не стоит вводить один и тот же пароль для доступа к различным ресурсам. Потому что если злоумышленник украдет или узнает пароль, к примеру, от интернет-мессенджера, он сможет использовать его для доступа к почте, социальным сетям и т. д.
- С осторожностью применяйте менеджер паролей, он может оказать вам медвежью услугу. Если злоумышленник узнает мастер-пароль (например, посредством кейлоггера), он получит доступ ко всем учетным записям пользователя.
- Не старайтесь рассказать о себе все всему миру. Не публикуйте в открытом доступе приватные данные о себе, если позволяют настройки социальной сети, открывайте данные только для друзей.
- Не рекомендуется публиковать в открытом виде адрес своей электронной почты. Специальные программы-роботы шерстят интернет-форумы и другие ресурсы в поисках адресов доверчивых пользователей. Поэтому контактные данные пишите лучше «в личку».
- Один из самых распространенных способов заражения – целенаправленный переход пользователя на вредоносные сайты. Для этого злоумышленники используют «дедовские» методы привлечения – зазывные баннеры с интимными изображениями, приглашения из мессенджеров «зацени какие...», броские заголовки «известный артист опозорился на всю страну» и т. д. Кажется, что все понимают опасность, которую несет переход по таким ссылкам. Однако ежедневно тысячи, даже миллионы людей, в том числе и те, кто не однократно попадался ранее, жмут на баннеры и листают вредоносные сайты в поисках обещанных сенсаций.
- Будьте бдительны в социальных сетях. Дело в том, что контакты в социальных сетях пользуются высоким уровнем доверия. Поэтому когда приходит приглашение перейти на внешний сайт, чтобы посмотреть веселый ролик или проголосовать в каком-либо конкурсе, человек охотно кликает ссылку. При этом часто попадает на рекламный или вредоносный сайт.
Так что же, антивирус – это плохо или хорошо? В сегодняшних реалиях это необходимо. В условиях, когда зараженным может оказаться даже хорошо знакомый сайт, а ссылка на вирус прийти в «аську» от коллеги, пользователь не может чувствовать себя в безопасности на основании того факта, что по сомнительным сайтам он не ходит. Однако самый важный барьер на пути проникновения вредоносных программ на ПК находится в голове пользователя. Именно его, этот антивирус в голове, необходимо держать постоянно включенным вне зависимости от наличия программного антивируса на компьютере.
Опубликовано 12.01.2011