Ответы пользователя по тегу Информационная безопасность
  • Как узнать какое приложение на моем компьютере шлет запросы в интернет или во вне?

    @tifco
    Монитор ресурсов,
    TCPView,
    Или при помощи PowerShell:
    Get-NetTCPConnection
    Get-Process | Format-Table -Property Id,ProcessName,Path
    Ответ написан
    Комментировать
  • Как безопасно скачивать и открывать файлы (например zip,txt,jpg) из интернета?

    @tifco
    Надо стараться файлы брать с проверенных источников, а не абы откуда.

    Вирус открывать не надо. Зачем? Удалить и дело с концом. Т. к. "вылечить" исполняемый файл не всегда возможно. Он может быть просто поломан в процессе: антивирус не те байты поменяет и привет.

    В виртуальной машине можно, к примеру, поизучать действие вредоноса. Любопытства ради. И, обычно, без ущерба для основной машины. Если машины, конечно, не объединены в локальную сеть (хост система <-> виртуальная система) и мы не запускаем, к примеру, некоего сетевого червя, что распространяется, как раз-таки, по сети. Используя, допустим, какие-то уязвимости, размещенных в ней (локалке), хостов. Как видно, опасность сего мероприятия зависит от функциональности, продвинутости зловреда. Так что насчет 100% абсолютности - врядли, не всегда и не со всеми. Ну а в целом, если не фанатеть этим, то интересного там не особо много. Потестил раз, два и надоест. Возникнет вопрос: нафиг оно вообще?
    Тут же жизнь со всеми ее приключениями. Кого-то не взяли айтишником, а он - талантище. Так вот и мстит обидчивый миру за несправедливость. Как умеет. Или изначально пошел по пути криминала. Это уже о мотивах и психологии данных "писателей".

    Исполняемые файлы (exe) содержат в себе исполняемый программный код. Все остальные (если грубо разделить) форматы не содержат его.
    Пример. Раньше, как-то была статья об уязвимости встроенного просмотрщика фотографий Windows. Дескать, открытие, специально сформированного, графического файла могло вызвать ошибку программы просмотра и, вроде как, допустить несанкционированный доступ к системе из вне. Вообще, софт пишут люди и в нем хватает ошибок. Сколько, в процентном отношении, таких уязвимостей и насколько реально они опасны (что в итоге может натворить программа после получения доступа (ее опасная начинка) или злоумышленник (по сети)) - еще вопрос. Тут, всеже, эксешники (exe) вне конкуренции. Их-то и надо опасаться, при прочих равных. Хотя, "вирусы" тоже эволюционировали. Понапридумано масса иных лазеек. Сейчас классические вирусы не столь актуальны, нежели трояны.
    Временами, эти истории вообще походят на байки. Про зараженные архивы, картинки и уже тем более текстовики. Если подумать логически: чего может быть опасного в простейшем текстовом файле? Ну завершит он с ошибкой Блокнот, если, к примеру, файл будет очень большой (пару мегабайт, да и на слабом ПК). Так это не вирус, а ограничения программы. Памяти не хватило.

    Тема вирусов достаточно обширная. Начиная от самых безобидных "шуток" и до очень мудреных, резидентных вирусов, сетевых червей и т. п. Что висят только лишь в оперативной памяти. Но на такое способно малое число "писателей", в основном же, речь идет о лютой туфте.

    Так что тут дело в вероятности. EXE-высока вероятность, все остальные - мала, если не крайне. Либо ущерб незначителен. Легко фиксится руками. Как и обезвреживается само поделие.

    Если exe-файл не запускать, не выбирать команду по файлу "открыть", то он безвреден. Т. к., в данном случае, это просто набор байтов (как и все остальное компьютерное содержимое), а не некая выполняющаяся программа (код).
    Ответ написан
    2 комментария
  • Тестирование на проникновение своей организации?

    @tifco
    Вручную или с некоторой автоматизацией (программа, скрипт). Допустим, просканировать каким-то сканером портов: сеть, подсети, хосты на предмет открытых портов (сервисов). Например, тем же Nmap. Что в рекламе не нуждается. Проверить доступность сервисов: доступны они изнутри и(или) из вне? Проверить настройки сервисов. Проверить актуальность версий сервисов.

    Ломают же как? Если не ошибаюсь в чем-то, то, примерно, так:

    1) Находят какой-нибудь хост (подсеть) из целевой сети по отдельному IP-адресу (диапазону адресов).
    Если хост должен быть недоступен из, к примеру, внешней сети - закрыт за межсетевым экраном, то, понятно, что он не должен отвечать на эхо-запрос (ping). Помимо межсетевого экрана, подсеть может быть разграничена маской подсети. То есть, допустим, из одной подсети мы не сможем попасть (соединиться) к другой. Т. к. у них последняя цифра адреса (IPv4) отличается. Это две, логически разных, разделенных подсети. Они не общаются вот так вот просто. Если только где-то, на сетевом оборудовании (концентратор, коммутатор, маршрутизатор), не будет определена маршрутизация между этими подсетями. Которые присоединены физически к разным портам данного оборудования. Т. к., логически, это могут быть подсети разных отделов компании, надобности во взаимодействии между которыми может не быть совсем. И в целях безопасности, и еще каких-то целях (исключения любопытства сотрудников - например) они разделены. Бухгалтерия и инженерный отдел - например. Тут, конечно, схема сети или топология нужна. Со всеми адресами, подсетями. В голове сложно это представлять: все возможные связи, коммуникации.

    2) Сканируют открытые порты на хосте.
    Если это, к примеру, веб-сервер, то у него должен быть открыт только этот порт (доступен сервис). 80-й вроде или какой там, сейчас не вспомню. Понятное дело, что что-то постороннее - уже подозрение. Лишние сервисы нужно остановить, либо закрыть к ним доступ межсетевым экраном данного хоста.

    3) Пытаются удаленно подключиться к сервису.
    Естественно сервис просто так не пускает всех подряд. Вероятно, есть какое-то шифрование. Ну или запрос пароля. Это в норме.
    Можно допустить работу, ради удобства, без пароля (к примеру, FTP отдела архива) в какой-то своей, локальной подсети, где достаточно безопасно. Нет посторонних подключений, всякого разного трафика. Но если сервис смотрит наружу, является доступным из глобальной сети (Инет), то тут, ясно дело, меры предосторожности строже.
    Помимо пароля и шифрования, настройками самого сервиса, вероятно, можно задать диапазон адресов, подключение с которых не будет сброшено сервисом. Это дополнительное, полезное ограничение.

    4) Пытаются получить управление, используя уязвимость (эксплоит), в данном сервисе.
    Сервис должен быть обновлен до последней версии. Чтобы в нем отсутствовали различные баги и возможность получения несанкционированного доступа к хосту.

    Ваша задача: пройти тем же путем и удостовериться что данных проблем нет.
    Это, конечно, все долго, лениво и так далее. Ну а что, работа такая. Ведь всякие навороченные сканеры уязвимостей или услуги - вероятно стоят немало.
    Можно, конечно, чего-то не учесть, не разобраться с каким-то аспектом. Но, все же, это снижает общую уязвимость и снижает вероятность потенциального взлома.

    Вот как я это вижу. Так, с ходу.

    Кстати, вероятно вы в курсе, а может быть и нет. Есть такие системы как IDS (система обнаружения вторжений). Которые, при обнаружении некой подозрительной активности, отправляют сигнал. Возможно, также, сразу, автоматически блокируют адрес-источник потенциальной атаки. Например, при обнаружении действия того самого сканера портов. Пример системы: Snort.
    Сканер - здесь просто инструмент. Вот в чьих руках: админа или хакера он окажется и с какой целью - другой вопрос. И да, этим же сканером можно и проверить самому работоспособность IDS.
    Ответ написан
    Комментировать