ИКОНОМИЧЕСКИ УНИВЕРСИТЕТ ВАРНА

ЦЕНТЪР МАГИСТЪРСКО ОБУЧЕНИЕ

РЕФЕРАТ Tема: Антивирусен софтуер и защитни стени

Изготвил: Проверил:

инж. Владимир Борисов доц. д-р Стефан Дражев

Ф. Номер 9379

I. ВИРУСИ .................................................................................................................................. 3

1. КАКВО Е КОМПЮТЪРЕН ВИРУС? ................................................................................................... 3

2. КАК ВИРУСИТЕ СЕ ПОЯВЯВАТ В КОМПЮТЪРНИТЕ СИСТЕМИ?............................................................... 3

3. КАК ВИРУСА ЗАРАЗЯВА СИСТЕМАТА? ............................................................................................. 4

4. КАКВО ПРАВИ ВИРУСЪТ? ............................................................................................................ 5

5. ВИСОКОТЕХНИЧНИ ЗАПЛАХИ ....................................................................................................... 5

II. ТРОЯНСКИ КОНЕ ................................................................................................................... 6

1. КАКВО Е ТРОЯНСКИ КОН? ........................................................................................................... 6

2. ТРОЯНСКИТЕ КОНЕ НЕ СА ВИРУСИ ................................................................................................. 7

3. КАК ТРОЯНСКИТЕ КОНЕ СЕ ПОЯВЯВАТ В КОМПЮТЪРНИТЕ СИСТЕМИ? ................................................... 7

4. КАКВО ПРАВИ ТРОЯНСКИЯ КОН? .................................................................................................. 8

III. АНТИВИРУСЕН СОФТУЕР ...................................................................................................... 9

1. ОБЩИ ХАРАКТЕРИСТИКИ ............................................................................................................ 9

2. МЕТОДИ ЗА ОТКРИВАНЕ НА ВИРУСИ ............................................................................................ 10

2.1 РЕЧНИК НА ВИРУСИТЕ ....................................................................................................................... 10

4.1 ИДЕНТИФИЦИРАНЕ ПО ПОДОЗРИТЕЛНО ПОВЕДЕНИЕ ............................................................................ 11

4.2 ДРУГИ МЕТОДИ ............................................................................................................................... 11

3. DETECTION NAMES ................................................................................................................... 11

4. GENERIC DETECTION ................................................................................................................. 12

5. АНТИВИРУСНИ СОФТУЕРНИ ПРОДУКТИ ........................................................................................ 13

4.1 ESET NOD32 ANTIVIRUS .................................................................................................................. 13

4.2 KASPERSKI ....................................................................................................................................... 14

4.3 MICROSOFT SECURITY ESSENTIALS ....................................................................................................... 15

IV. ЗАЩИТНИ СТЕНИ ............................................................................................................... 15

1. ОБЩИ ХАРАКТЕРИСТИКИ .......................................................................................................... 15

2. ВИДОВЕ ЗАЩИТНИ СТЕНИ ......................................................................................................... 16

4.1 ЗАЩИТНИ СТЕНИ НА МРЕЖОВО НИВО ................................................................................................. 16

4.2 ЗАЩИТНИ СТЕНИ НА ПРИЛОЖНО НИВО ............................................................................................... 17

4.3 ВЕРИЖНИ ЗАЩИТНИ СТЕНИ ............................................................................................................... 19

3. СОФТУЕРНИ ЗАЩИТНИ СТЕНИ .................................................................................................... 19

4. СОФТУЕРНИ ПРОДУКТИ ............................................................................................................ 21

4.1 F-SECURE INTERNET SECURITY 2011.................................................................................................... 21

4.2 MCAFEE INTERNET SECURITY .............................................................................................................. 22

4.3 NORTON INTERNET SECURITY .............................................................................................................. 23

4.4 ZONEALARM PRO ............................................................................................................................. 24

V. РЕЧНИК НА ТЕРМИНИТЕ ..................................................................................................... 25

I. Вируси

1. Какво е компютърен вирус? Компютърният вирус е програма проектирана да зарази компютърна система, да създаде свое копие, използвайки системните ресурси, без знанието и позволението на собственика или потребителя. За да се репликира един вирус е необходимо компютърна програма да прочете

неговия код. Най-обичайният начин, по който това се случва е когато вирусът се прикрепи към друга програма, наричана хост програма(host program). Веднъж закрепил се вирусът към хост програма, компютърната система е заразена. Всеки път когато тази програма бъде изпълнявана, вирусът създава свое копие. Всяко новосъздадено копие на свой ред се прикрепя към друга хост програма и много скоро след многократното изпълнение на заразените хост програми, цялата компютърна система буквално се пренасища с копия на вируса. Вирусите също така могат да предизвикат определени действия, които да поразят ефективността на цялата система.

2. Как вирусите се появяват в компютърните

системи? Вирусите използват така наречените трансмисионни вектори (transmission vectors) , за да попаднат в компютърната система. Трансмисионните вектори могат да бъдат:

Мултимедийни устройства (CD, DVD, USB, Floppy и др.)

Интернет (e-mails, злонамерени уеб страници, сваляне на файлове и др.)

Мрежова среда (споделени папки, публични мрежи и др.)

Създателят на вируса трябва да намери начин да внедри вируса нелегално в потребителската система или да заблуди

самия потребител сам да направи това. Някои от методите,

които хакерите използват са:

Да открият незащитена компютърна система и незабелязано да внедрят злонамерения софтуер

Да открият слабост в една защитена компютърна система и да използват тази слабост

Да заблудят потребителя, че вирусния файл е

нещо безобидно

Дори след като вирусът попадне в компютърната система, той трябва да изпълни своя код преди системата да се счита за заразена. Възможно е една компютърна система да има вирус, но той да не е успял да се инсталира успешно.

Пример: Един вирус може да бъде внедрен, чрез е-мейл съобщение, маскиран като прикачен файл. Има два метода,

при които вирусът да попадне в компютърната система:

Вирусът да е програмиран така, че да открие слабост в системата и да се инсталира автоматично, без да е необходимо потребителят да прави каквото и да е действие.

Чрез съобщение в самия е-мейл да изкуши потребителя да кликне върху прикачения файл и по този начин да стартира вируса, който ще се инсталира в

системата.

Втория метод е доста по срещан поради факта, че се изискват по-малко умения по програмиране и става по-лесно.

3. Как вируса заразява системата? Точния механизъм, по който вирусите се инсталират в компютърните системи зависи от обекта, който са програмирани да заразят. Обектите, които могат да бъдат заразени могат да бъдат:

Файлове – вирусите най-често атакуват системни файлове или файлове с данни, като инжектират своя собствен код в програмния код на файловете. Вендъж инсталиран злонамереният софтуер нарушава нормалното състояние на операционната система, принуждавайки компютъра да изпълнява инструкции, зададени му от

вирусната програма. Тези вируси са познати като файлови вируси (file viruses)

Макроси – други вируси атакуват макросите, които отговарят за изпълнението на рутинни последователности от инструкции а различни програми. Макросите се обикновено включени в програмите за улеснение на потребителите. Скриптовете, които се намират в изпълнимите файлове, са аналогични на макросите и също са обект на атаки от страна на вирусите. Тези вируса са познати като макро или скрип вируси (macro or script viruses)

Master Boot Record (MBR) – MBR е критична зона, която съдържа инструкции как ще се зареди операционната система. MBR е обект на атака от страна на boot sector

вирусите.

Обикновено един вирус има за цел до порази един тип

обект.

4. Какво прави вирусът? След като вирусът успешно е заразил обектът на своята цел, в общи линии компютърната система и под контрола на създателя на злонамерения софтуер. Взависимост от находчивостта и уменията по програмиране на създателя, операционната система може да бъде принудена да извършва всякакви дейности. Някои от тези дейности

включват:

Файлови опрерации като редактиране, създаване, изтриване на файлове

Системни операции като стартиране, инсталиране или изтриване на програми и процеси

Механични действия като отваряне на CD ROM или изключване на монитора

Трансфер на данни или файлове към отдалечени

компютри

5. Високотехнични заплахи В ранните години вирусите са по-скоро дразнещи отколкото опасни, суздавани предимно от аматьори, търсещи слава. В днешно време с усъвършенстването на операционните системи и софтуера, създателите на злонамерени програми

също започват да пишат все по-сложни и комплексни вируси. Такива комплексни вируса биха могли да атакуват множество типове обекти, да бъдар разпространявани по различни през различни трансмисионни вектори и да имат много по тежки последствия за компютърните системи.

Някои от комплексните вируси са:

Комбинирани заплахи (Blended Threats) – Много от тези заплахи се характеризират не само като вируси, но и като „троянски коне” и „червеи”. Например един такъв вирус може да се репликира не само когато хост програмата бъде стартирана, но да разпространява своите копия през локалната мрежа.

Полиморфични заплахи (Polymorphic Threats) – Друга вариация на стандартния вирус е полиморфичния вирус. Както се разбира от името му, този софтуер може да се трансформира и да променя кода си, за да бъде по-трудно откриван от защитните програми. За да могат да променят своя код, полиморфичните вируси се криптират от мини програма, която им дава тази функционалност.

Метаморфични заплахи (Metamorphic threats) – подобен тип вирус е метаморфичния, който също може да

променя своя код.

Вирусите в днешно време са трудни за откриване и

премахване от заразените компютърни системи. Все повече хора използват интернет базирани услуги като търсене, банкиране, споделяне на файлове и данни, е-мейл и др. Това от своя страна е един стимул за авторите на злонамерен софтуер да бъдат все по-креативни и по-иновативни. Това което те предимно търсят е финансова изгода, чрез кражби на кредитни карти, детайли на банкови сметни, поверителна информация и др.

II. Троянски коне

1. Какво е троянски кон? Троянският кон е програма, която извършва неоторизирани и непозволени от потребителя действия. Част от действията,

които извършвани от троянския кон са:

Копира информация, съхранявана в определени файлове на компютъра

Модифицира инициира мрежови връзки Инсталира и стартира програми Свързва се и комуникира с друг компютър или

сървър

Легална програма, която също извършва непозволени действия, поради грешка в кода си, също се определя като троянски кон. Този тип злонамерен софтуер е обикновено много добре прикрит или прикрепен към други легални програми. Например една обикновена игра може да се окаже троянски кон и докато играта си върви троянският кон да събира и изпраща информация от компютъра към външно устройство. За да изглеждат достатъчно надеждни и да не събуждат подоздрението на потребителите, троянските коне биват скривани като видио или аудио файлове, документи и легални програми. Друга популярна тактика е да се скрие троянски кон в ъпдейт към някаква програма.

2. Троянските коне не са вируси За много хора вирусите и троянските коне са едно и също нещо. Технически това са два различни типа софтуер. Въпреки, че е възможно да предизвикват един и същи ефект

върху операционната система, обикновено са необходими предприемането на различни мерки за идентифициране, спиране и изтриване на злонамерения софтуер. Основната особеност при троянските коне е, че те имат за цел да шпионират и извличат ценна информация незабелязано от потребилските компютри. Друга характерна черта е, че те не разпространяват свои копия, както е при вирусите, а използват едно копие, което еднократно намира своята цел.

3. Как троянските коне се появяват в компютърните

системи? До преди няколко години бе обичайна практика троянските коне да бъдат изпращани на потребителите като прикачени файлове в е-мейл съобщения. Изпращачът на подобен тип съобщения се надява потребителят да бъде заинтересуван от съдържанието в писмото, да свали и стартира прикачения

към него файл. В последните години с развитието на Интернет достъпа, все повече хора са онлайн, което е добра възможност за хакерите да намерят своите „жертви”. Най-често те се заразяват когато просто сърфират в Интернет. Някои от стратегиите за разпространение на трояски коне

включват:

Компроментирани легални сайтове със прикрепен към тях злонамерен софтуер

Създаване на копие на уеб страница, където се съдържат троянски коне, които да поразят нищо неподозиращите посетители на уеб сайта

Пренасочване на потребители към компроментирани портали, чрез SEO

Кражба на легални е-мейли или акаунти, от които се изпращат пренасочващи връзки към компроментирани

страници

Обикновено сайтовете съдържащи злонамерен софтуер са специално от хакерите, като тези сайтове са активни от няколко часа до няколко дни преди да бъдат свалени от самите тях. Тези сайтове са така проектирано, че да улавят слабостите на браузърите на потребителите, карайки ги автоматично да свалят троянските коне на твърдите дискове.

4. Какво прави троянския кон? Веднъж стартиран, троянският кон най-често атакува личната информация на потребителя или тази на неговата компютърна система. Този софтуер е проектиран да търси определен тип информация като пароли, номера на кредитни карти и други или да шпионира потребителя събирайки информация от неговите действия. Троянските коне, които атакуват компютърната система имат за цел да контролират цялата система или части от нея като отварят

мрежови портове или инсталират програми, които да позволят на хакера да придобие пълен контрол върху компютъра. Могат да бъдар разграничени следните типове

троянски коне:

Trojan Spy – шпионира действията на потребителя и ги съхранява в лог файл. Действията могат да включват

операции с мишка и клавиатура, манипулиране на файлове и регистри, интернет активност. Събраните данни се изпращат към външен сайт или устройство.

Trojan Thief – събира информация за чувствителна информация като пароли, логини, верификационни номера и ги изпраща към външен сайт или устройство.

Trojan Dropper – този тип файл троянски кон внедрява няколко файла от тялото си в определени места от диска.

Trojan Downloader – сваля файлов е директно от Интернет и ги изпълнява на заразената машина. Някои от този тип троянски коне могат да използват стандартни програми като програми за FTP за сваляне на файлове.

Trojan Proxy – този тип следи за определени портове и събира информация за трафика, който може да бъде пренасочен взависимост от конфигурацията на троянския кон.

Съществуват и по-усъвършенствани троянски коне, които да

изпълняват повече от една функция.

III. Антивирусен софтуер

1. Общи характеристики Антивирусните програми защитават компютърната система от вируси като инспектират компютърната памет и файловата система в търсене на злонамерен софтуер. Този процес на инспектиране се нарича сканиране. Създателите на антивирусен софтуер използват две основни стратегии – on demand и on access сканиране. При on demand сканирането, потребителите сами активират и стартират антивирусната програма всеки път когато искат да направят проверка. При on access сканирането, антивирусната

програма се включва автоматично всеки път когато се използва ресурс от компютърната памет или файловата система. Въпреки приликите между двете стратегии, те са и много различни. On access сканиращата програма трябва да действа между програмите и операционната система и да следи за работата на програмите с файловете, паметта и

мрежовите ресурси в реално време. Голямото предизвикателство тук е антивирусните програми да могат да сканират компютърната система без да нарушават цялостната й производителност.

2. Методи за откриване на вируси Антивирусните програми обикновено използват два основни

метода за откриване на вируси и троянски коне:

Инспектиране на файловете за познати вируси на базата на речник на вирусите

Идентифициране на подозрителни програми,

които могат да бъдат индикация за зараза

Повечето от комерсиалните софтуерни продукти използват и двата метода.

2.1 Речник на вирусите

При този метод, антивирусната програма проверява файла и се объща към своя речник с дефиниции на познати вируси, определени от създателя на софтуера. Ако част от кода във файла съвпадне с дефиниция от речника, антивирусната

програма може да предприеме следните действия:

Изтриване на файла и премахване на вируса Поставяне на файла под карантина, като по

този начин се забранява достъпа до този файл и вирусът не може да се разпространи

Опит да се поправи или изчисти файла като се премахне самия вирус от него

За да бъде успешен този метод за отстраняване на вируси е необходимо периодично да бъдат актуализирани речниците на съответните антивирусни програми, като това най-често става чрез инсталирането на онлайн ъпдейти. Въпреки, че

този метод се счита за успешен, създателите на вируси се опитват да създават все по сложни полиморфични вируси, които да крипитират и променят част от своя код, за да не бъдат разпознати от сигнатурите в речниците.

4.1 Идентифициране по подозрително поведение

Този метод не открива вируси по предварително зададени сигнатури, а наблюдава и изследва поведението на програмите. Ако една програма например направи опит за запише данни в изпълним файл бива маркирано като подозрително поведение и се извежда съобщение на потребителя като същевременно му се продоставят опции за евентуалните действия които могат да бъдат направени. По този начин могат да бъдат засичани вируси, които не съществува в нито един речник на познатите до момента вируси. Като недостатък може да се отчете, че се генерират много фалшиви сигнали, които объркват потребителите. Сложните програми, които се пишат в днешно време са

програмирани да правят обръщения и промени в други изпълними файлове, което се отчита от антивирусния софтуер. От тук нататък зависи от самия потребител дали ще изтълкува получените сигнали като някакъв вид заплаха или пробив в сигурността и какви действия ще предприеме.

4.2 Други методи

Някои антивирусни програми се опитват да емулират началото на кода на изпълнимия файл при неговото стартиране и ако се установи, че този файл или програма

използва някакъв тип променящ се код се предполага, че е заразен с вирус.

3. Detection names При откриването на вирус в системата, антивирусният софтуер обикновено ще изведе съобщение за това какво е открил. Тези съобщения съдържат доста информация, която може да бъде полезна за потребителите. Нека приемем, че антивирусната програма е открила следната заплаха:

Worm:W32/Mabezat.B

Този ред може да бъде разделен на следните компоненти:

Type Platform Family Variant

Worm W32 Mabezat B

Type индентифицира вида на заплахата. В този случай имаме злонамерен софтуер от тип Worm (червей), който може да се репликира през мрежата и да нанесе сериозни щети на заразения компютър. Platform е архитектурата на операционната система, в която вирусът ще функционира коректно. Обикновено вирусите оперират в определени операционни системи. В случая този вирус е предназначен за 32-битова операционна система на Windows. Family е уникалното име, което получава съответния вирус. В този случай това е Mabezat. Терминът Family се използва

поради факта, че създателите на злонамерен софтуер много често създават подобрени или нови версии на един и същ вирус. Variant идентифицира версията на вируса в рамките на Family. В този случай версия В, която е вариация на оригиналната версия Worm:W32/Mabezat. Обикновено вариантите се подреждат по хронологичен ред.

4. Generic Detection Преди 2007 година общото количество на вирусите в Интернет пространството е достатъчно малък (няколко хиляди), за да могат антивирусните компании да засичат индивидуално всеки един вирусен софтуер. В последните години количеството на вирусите се е увеличило от няколко хиляди до няколко милиона. Това прави индивидуалното откриване на всеки един вирус неефективно. Поради тази причина антивирусните програми днес използват Generic Detection за откриване на злонамерен софтуер. Този метод на откриване може да обхване широк набор от вирусен софтуер. Фактът, че Generic Detection може да създаде една единствена дефиниция, която да откире стотици видове

злонамерен софтуер, прави този метод изключително ефективен. Също като стандартния Detection метод, Generic Detection използва установени имена за вирусите, които се откриват. Форматът при General Detection има следния вид:

Trojan:W32/Daonol.gen!C

Този ред може да бъде разделен на следните компоненти:

Type Platform Family Generic Set

Trojan W32 Daonol .gen C

Type, Platform и Family са идентитични като при стандартния метод Detection. Generic показва, че не се идентифицира точно определен вирусен софтуер Set, за разлика от Variant, който определя версията на

сканирания вирус, определя версията на дефиницията създадена от Generic Detection за откриване на съответния вирус. В този случай е версия C на дефиницията, която Generic Detection използва за октриването на заразения файл.

5. Антивирусни софтуерни продукти

4.1 ESET NOD32 Antivirus

ESET NOD32 Antivirus е антивирусна система от ново поколение, която предоставя защита от широк спектър постоянно еволюиращи заплахи - вируси, червеи, троянски коне, шпионски и рекламен софтуер, rootkits и phishing атаки. Системата предлага най-добрата проактивна защита на пазара, като засича непознатия зловреден код в реално време още преди да са излезли дефинициите за него. Благодарение на технологията ThreatSense и напредналите евристики, на които е базиран алгоритъма на продуктите на ESET, заплахите се идентифицират проактивно и така се

предотвратяват до 80% от т.нар zero-day атаки. ThreatSense е антивирусната технология, която е допуснала най-малко false postitives при провежданите тестове и с бързодействието си продължава да се нарежда сред фаворитите на престижните издания Virus Bulletin и AV-Comparatives.

Характеристики:

максимална защита от вируси, червеи, троянски коне,

шпионски и рекламен софтуер, rootkits и phishing атаки отлична защита от новопоявили се заплахи чрез

технологията за проактивно засичане минимално влияние върху системните ресурси сканиране в background режим нищожен брой регистрирани false positives намален размер на обновяванията

Предимства:

безпрецедентна бързина на сканиране и засичане на

зловреден код подобрен алгоритъм за чистене на засечените заплахи не натоварва системните ресурси зарежда се изключително бързо лесен за инсталиране, настройка и поддръжка интуитивен интерфейс не притеснява потребителя с чести диалогови прозорци

и съобщения не натоварва трафика на компютъра не спира, нито забавя работата на потребителя незабележимо присъствие върху машината на

потребителя

работи най-добре, когато е легална

4.2 Kasperski

Kaspersky Anti-Virus & Internet Security съдържа в себе си няколко модула, чрез които защитава компютъра от различни видове вируси, както и повишава сигурността от атаки на непознати вируси. Kaspersky Anti-Virus & Internet Security осигурява постоянна

автоматизирана защита за Вас и Вашето семейство докато работите, банкирате, пазарувате или играете online. Програмата има всичко от което се нуждаете за сигурно и безопасно пребиваване в Интернет. Kaspersky Anti-Virus ползва оригинални алгоритми за откриване на вируси, които позволяват откриването и на неизвестни до момента вредители. Освен файлове

програмата сканира и пощенски бази данни и получавани съобщения заедно с прикачените файлове и отлично определя макровируси в документи на Microsoft Office. Kaspersky Anti-Virus поддържа проверка на популярните видове архиви.

4.3 Microsoft Security Essentials

Microsoft Security Essentials напълно безплатна система за защита от вируси, зловреден и шпионски софтуер. Тя е разработена и се предлага в резултат на ангажимента на Майкрософт към Trustworthy Computing, чиято основна цел е потребителите да са защитени и свободни при работата си с компютър. Microsoft Security Essentials е сертифицирана независимо и от West Coast Labs и е подсигурена от световния екип на Майкрософт за сигурност. В основата на системата са решенията за сигурност, насочени към бизнеса. Няма нужда от регистрация, пробни версии или подновяване на абонамент. Идеална защита на вашата система в реално време, отличава се с опростен интерфейс, който няма да представлява затруднение и за най-неопитните потребители. Лека и безупречна, ненатоварваща операционната система.Нови дефиниции всеки ден. Microsoft препоръчват, премахването на всякакъв друг антивирусен

софтуер преди инсталиране на този!

IV. Защитни стени

1. Общи характеристики Тяхната роля е да се изолират пристигащи или заминаващи зловредни пакети, в колкото се може по-голям процент. Защитната стена застава по средата на потока от данни между интернет и компютърната система. Трябва да бъде настроена така, че да може да пропуска тези пакети данни, които са жизнено необходими за работата на машината в мрежата, като например потока данни на порт 80, за да могат да се виждат сайтовете и да се забранят онези данни,

които могат да са опасни. Ако някоя програма от интернет се опита да се свърже с определен порт на потребителския компютър, който не е дефиниран като жизнено необходим би следвало да бъде блокиран. Също така защитната стена предпазва от програмите, които се намират на твърдият диск да се свързват свободно към интернет. Това ще рече, че се проверява всяка една програма по отделно, опитваща се да се свърже към интернет. За да се допусне да се свърже, тя трябва да има специално разрешение от потребителя. Ако няма разрешение да го направи няма да получи достъп до интернет. Също така защитните стени са много полезни с това, че могат да предоставят различни допълнителни екстри като например ограничаване на

определен тип информация да може да се достъва в интернет. Например, не искате някой, който изполва компютъра ви да може да гледа филми в интернет, тогава спокойно може да забраните това като кажете на защитната стена да не допуска стартиране на филмови файлове от интернет.

2. Видове защитни стени

За нуждите на различните видове потребители, може да се внедрят три вида защитни сетени: на мрежово ниво, на

приложно ниво и верижни защитни стени. Всеки един от трите вида използва различен подход. След като се определят нуждите от защитна стена, трябва да се определи от какъв тип да бъде тя.

4.1 Защитни стени на мрежово ниво

Обикновенно такава стена се явява екраниращ рутер или специален компютър, проверяващ пакетните адреси. В тях се съдържат адресите на изпращащия и на приемащия компютър, както и различна информация за самия пакет.

Стената използва тази информация за определяне на достъпа му.

Може например да се конфигурира така, че да блокира всички входящи съобщения от определен сайт, както и изходящи пак за този сайт. Обикновенно се инструктира и блокиране на пакет с файл, който съдържа IP адресите на

сайтовете, чийто пакети трябва да бъдат блокирани. След като открие пакет, съдържащ подобен адрес, той бива отхвърлен. Такива адреси за блокиране на определени сайтове се наричат черен списък. Пристигащият пакет може да съдържа всякакъв вид информация, като електронно съобщение, Telnet заявка за регистриране (заявка за отдалечен достъп до нашия компютър). В зависимост от това, как е конструиран екраниращия файл, рутерът може да разпознае и изпълни определени действия за всяка една заявка. Например може да се програмира така, че да позволява Интернет потребителите да разглеждат нашите Web страници, но да нямат възможност за FTP трансфер от или към сървъра. Може да се програмира да позволява FTP

достъп на потребителите от сървъра (да свалят файлове), но не и към сайта (да качват файлове). Обикновенно се настройва така, че да се взема под внимание следната информация във всеки един пакет:

Сорс адреса, от който пристигат данните. Адреса-предназначение, към който са насочени

данните. Сесийния протокол, като TCP, UDP или ICMP. Дали пакетът е начало на заявка за връзка.

Ако е инсталирана и конфигурирана правилно

мрежовата защитна стена, тя трябва да е изключително бърза и почти веднага да става прозрачна за потребителите(освен ако не се опитват да изпълняват блокирана дейност). Разбира се за потребителите от “черния списък” това ще бъде непробиваема преграда.

4.2 Защитни стени на приложно ниво

Приложната защитна стена обикновенно се явява хост компютър, изпълняващ прокси-сървърен софтуер, но поради наличието на този софтуер, често пъти е наричан и прокси

сървър. Името му идва от думата прокси, което означава действия от името на друг (заместник, пълномощник). Тези сървъри комуникират от името на потребителите със сървърите извън мрежата. С други думи, те контролират трафика между две мрежи. В някои случаи може да контролират всички комуникации на определени

потребители. Например потребител от мрежата, който получава достъп до Интернет чрез прокси сървър, ще се появи за другите компютри като самия сървър. В мрежата той може да получава достъп до защитено приложение (като поверителна база данни), без да е необходимо постоянно да въвежда пароли. Когато се използва подобна защитна стена, мрежата не е свързана към Интернет. Така трафикът, който тече по вътрешната мрежа, не може да си взаимодейства с този отвън, тъй като няма никакъв физически контакт. Прокси сървърът предава изолирано копие на всеки един одобрен пакет от едната към другата мрежа. Приложните стени успешно маскират основата на първоначалната връзка и

защитават мрежата от Интернет потребители, които се опитват да съберат нежелана информация. Тъй като прокси сървърите разпознават мрежовите протоколи, може да се укаже на сървъра да контролира услугите, които да се изпълняват в мрежата, и то по подобен на програмирането на рутер начин. Например може да се инструктира така, че да позволява на клиентите да изпълняват ftp сваляния на файлове, но не и качвания. Сървърите са валидни за множество услуги, като HTTP, Telnet, FTP и Gopher достъп, но за разлика от един рутер, за всяка една такава услуга трябва да има определен прокси

сървър. Ако се използва Windows NT-базиран сървър, Microsoft Internet Information Server и Netscape Commerse Server включват поддръжка на прокси сървър. При използване на прокси сървър, мрежовите потребители трябва да използват клиентски програми, поддържащи прокси операции. Много TCP/IP протоколи, включително HTTP, FTP и други, са създадени и с тази възможност. В повечето Web браузъри може лесно да се конфигурира насочване към прокси сървъра. За нещастие, някои други Интернет протоколи не поддържат добре този род услуги. Тогава трябва да се конфигурира Интернет приложението да бъде съвместимо

или не с прокси функциите. Например приложения с поддръжка на SOCKS прокси протокол са добро решение, ако базираме целия мрежов достъп на SOCKS. При това обаче трябва предварително да сме наясно дали потребителите ни използват клиентски софтуер, поддържащ прокси услуги.

Приложните защитни стени позволяват лесно наблюдение на вида и количеството трафик, влизащ в нашия сайт. Тъй като създават бариера между локалната мрежа и Интернет, са добър избор при изисквания за висока безопастност. Но понеже програмата трябва да анализира пакетите и да решава дали да позволи достъп или не, мрежовата производителност се намалява. С други думи, една приложна стена е значително по-бавна от мрежовата, затова при планиране на такъв род защита трябва да използваме най-бързия компютър, който имаме в наличност.

4.3 Верижни защитни стени

Тази стена е подобна на приложната, тъй като и двете са прокси сървъри. Разликата е, че не изисква използването на специфични прокси-клиент приложения за всяка услуга, поддържана в мрежата, като FTP или HTTP. При този род защита се създава верига между клиента и сървъра, без да се налага приложението да знае това. Клиентът и сървърът комуникират директно, без да се налага да се обръщат към тази верига. Тази технология защитава началото на всяка една транзакция без да пречи на по-нататъшното ǔ предаване. Предимството е, че предлага услуга за раличен набор протоколи, така че при използването на верижна защитна стена за HTTP, FTP или Тelnet не се налага да се променя съществуващото приложение или да се добавят нови приложни прокси сървъри за всяко едно от тях. Тя позволява използването на досегашния софтуер, а самата тя използва един-единствен прокси сървър.

3. Софтуерни защитни стени

Общо взето, всички защитни стени са направени така, че да

изключват системите за сканиране и проникване в тях. Това се извършва чрез просто блокиране на портовете. Някои софтуерни защитни стени освен това предотвратяват изтичането на информация от компютъра, като блокират достъпа на непроверени услуги и приложения до мрежата. Софтуерните защитни стени могат да бъдат инсталирани на

всеки персонален компютър, който има нужда от защита, докато хардуерните защитават централно всички компютри в мрежата. Но поради това, че първите работят локално, те познават в подробности всичко, което става в една систма. Докато една хардуерна защитна стена най-вероятно ще разреши всякакъв трафик на електрона поща през порт 25. Софтуерната обаче може да направи разлика между Microsoft Outlook и троянски коне. Обикновенно когато една програма се опита да осъществи достъп до Интернет за първи път, софтуерните защитни стени питат дали да и разрешат достъп. Някои защитни стени вече разпознават често използвани приложения (като AOL Instant Messenger, Lotus Notes и Microsoft Office) и

създават съответните правила по време на установяването си. В идеалния случай след малко обучение защитната стена ще може да ви предпазва с минимален брой прекъсвания. Защитните стени показват слабостите си, когато се натъкнат на програми, за които нямат приети по подразбиране правила. Например, когато непозната Lsass.exe програма опита да осъществи достъп до Интернет, стената пита дали да разреши достъпа. Но стената ще каже повече неща за програмите, които познава добре. В този случай ще ни уведоми, че Lsass.exe е “локален сървър за защитна идентификация, който генерира процеса, използван от

услугата Winlogon за идентификация на потребители”. Може също така да каже нещо и за сървъра с който си комуникира. Стената може да се накара да пита всеки път, но подобни въпроси постепенно стават много досадни. Въпреки това е по-добре да пита отколкото да разчитате на вече веднъж настроена защитна стена. Предимствата на този род защита са: че са евтини, работят добре при добра настройка, работят на ниво прилжения, идеални са за една машина с много потребители, анализират входящия и изходящия трафик, удобни за пътуващи потребители, лесно се обновяват. Някои от недостатъците са им:

може да се окажат твърде сложни за начинаещи не скриват персоналните компютри от външния свят понякога са досадни споделят уязвимите места на операционните системи

4. Софтуерни продукти

4.1 F-Secure Internet Security 2011

F-Secure Internet Security 2011 е по-лесен за управление, включва многослойна защита и не натоварва компютрите, а всички настоящи потребители на защитния софтуер ще могат да направят безплат5ен ъпгрейд към него. На разположение е нова версия на интегрирания продукт за защита на домашни потребители Internet Security (2011) на финландския разработчик F-Secure, информираха от българския дистрибутор на компанията Инфодизайн България ООД.

Според заявленията на разработчика, F-Secure Internet Security 2011 е проектиран да бъде непробиваем. Това означава, че намеса от страна на потребителя ще бъде изисквана единствено в краен случай. Потребителският интерфейс е крайно достъпен, а инсталацията - разбираема. За максимално удобство, различните компоненти на продукта могат да бъдат включени или изключени с едно единствено натискане на мишката, като всичко това е придружено и с възможност за безплатна помощ по телефон или имейл, достъпна всеки ден и по всяко време на денонощието.

F-Secure Internet Security 2011 включва пълен набор от защитните технологии на финландците. Предвидена е многослойна защита срещу всички видове злонамерени атаки, независимо дали атакуват браузера, файловата система или се опитват да подведат потребителите да активират линк или да отворят прикачен файл. Т.е. функционалността осигурява пълна защита срещу вируси и шпионски софтуер, защитна стена (firewall), защита на браузъра за откриване на опасни сайтове, защита срещу кражба на самоличност, блокиране на спам и фишинг мейли и родителски контрол. Тази версия на пакета е базирана и на нова фирмена технология – т.нар. „интелигентен облак". F-Secure Internet Security 2011 осъществява достъп до "облака" в рамките на милисекунди с цел да прецени репутацията на файловете, което гарантира високата точност на засичане и максимална защита в реално време за потребителите. Освен това, функционалността на F-Secure Internet Security 2011 не е за

сметка на производителността, подчертават още от компанията. Продуктът работи бързо и използва минимум оперативна памет, така че да не забавя машината. За доказателство на това твърдение от компанията цитира скорошен тест, проведен от AV-Comparatives.org, (Австрийска организация с нестопанска цел, провеждаща независими проучвания на антивирусни софтуерни продукти), в който F-Secure Internet Security 2011 е получил най-високата оценка Advanced+ за производителност.

4.2 McAfee Internet Security

Това е пакет от продукти, който не само съдържа McAfee Firewall, но и антивирусно приложение McAfee VirusScan, както и много други полезни инструменти: блокиране на реклами, родителски контрол, филтър за cookies и инструмент за изчистване на данните от историята на вашите посещения в Интернет. Както повечето продукти в групата защитната стена е най-подходяща за напреднали потребители, поради наличието на малко съвети при определянето на правилата. Пакетът McAfee Internet Security има полезен съветник за установяване. Странно, но защитната стена е изключена по предположение и така може без да искате да оставите системата незащитена. При активиране на защитната стена

друг съветник ви помага да я конфигурирате за локалната мрежа. Тя разпознава с лекота кои програми имат нужда от Интернтет и създава съответните правила. Пакета съдържа различни инструменти, които са много полезни. Защитната стена предлага много опции за сигурност – например предупреждение на потребителя, когато модемът установява връска тихо, и блокиране на достъпа на неоторизирани програми, сайтове с вируси или Active X конзоли. Инсрументът Internet Security Check извършва сканиране за проблеми, свързани със сигурността:

за браузъри, нуждаещи се от обновяване за наличието на Web бъгове троянски коне шпионски и рекламен софтуер (spyware/adware) за програми, следящи това, което въвеждате от

клавиатурата

за открит идентификационен номер на централния процесор

много други

Приложеният антивирусен софтуер проверява за вируси, сканира електронна поща и спира враждебни скриптове и приложени файлове, както изпращани така и получавани. Включва и много ефективен и интересен инструмент Visual Trace – за IP проследяване, с който могат да се открият местонахожденията на дадени IP адреси.

4.3 Norton Internet Security

Norton Internet Security е изграден на базата на Norton Personal Firewall. Тази програма, чиито впечатляващи възможности са лекота на използване и проста инсталация. Пакета притежава много възможности, в това число популярното антивирусно приложение на Norton, родителски контрол, блокиране на реклами. След бърза инсталация следва съветник за локални мрежи (ако има такава). Той лесно установява персонални компютри в локална мрежа, така че да работят зад защитната стена. С Program Scan се поверяват всички приложения с Интернет възможности и може бързо и лесно да се определят съответните правила. След установяването LiveUpdate се стартира автоматично и изтегля последните изменения на продукта. Защитната стена открива всеки опит за сканиране на портовете. При засичане на нови мрежови приложения, стената предупреждава със съобщение и предлага блокиране, разрешение за достъп или да се конфигурира ръчно. Защитната стена разпознава повечето изпълними файлове, като използвакакто файлови имена, така и контролни суми, за да е сигурно, че не е имало намеса в тях. Системата за откриване на прониквания използва сигнатури за откриване на най-често срещаните видове

атаки. Тези сигнатури се обновяват редовно. Ако се открие атака отвън, адресът източник се блокира за 30 минути. Тази опция може да се деактивира, но не може да се променя интервала от време. Privacy Control дава възможност за въвеждане номера на кредитни карти или друга важна инфомация и гарантира, че те няма да бъдат изпращани напълно открити в Интернет. Norton AntiVirus е

един от най-добрите антивирусни продукти на пазара. Неговите инструменти за родителски контрол дават възможност да се блокират Web сайтове и Usenet групи за новини. Web сайтът за проверка на сигурността, който е достъпен от таблото за управление на защитната стена, е изумителен инструмент. Той стартира Active X контрол, за да изпита връзката за отворени портове, за наличие на антивирусни програми и за много други. Чрез Visual Trace може да се определи приблизително местонахождението на дадена машина. Може да се каже, че това е един много добър пакет който включва всичко необходимо за защита на даден потребител.

4.4 ZoneAlarm Pro

ZoneAlarm Pro има блокировка на появяващи се реклами, управление на cookies, проследяване на хакери (откриване и получаване на ISP данни), блокиране на цели зони и др. ZoneAlarm приежава много добър вграден съветник за установяване на ICS. Той намалява проблемите с конфигурирането. Стената използва три зони за мрежова сигурност: Trusted (доверена), Интернет и Blocked

(блокирана). В тези зони може да се разполагат определени компютри, поредици ICIPS адреси и еднородни локатори на ресурси (URLs). Доверената зона разрешава целия достъп. Интернет блокира определени видове достъп, а блокираната зона блокира всичко. Хубаво е също, че ZoneAlarm препоръчва локалната мрежа да бъде в Интернет зоната а не в доверената. AlertAdvisor на ZoneAlarm уведомява за програмите, използващи достъп до Интернет. Когато се открие ново приложение се отваря питащ прозорец как зонира новото приложение. Защитната стена следи и информира (IP адрес и вида атака) за опити за

прониквания. Може да се настрой да пази от никакви до много детайлни log файлове. Стената успешно разпознава опитите за сканирания и прикрива портовете. Интерфейсът е изчистен и удобен, но има по-малко опции. Това може да се разглежда и като добре и като лошо, зависи от индивидуалните предпочитания.

V. Речник на термините

Worm - A program that replicates by sending copies of itself from one infected

system to other systems or devices accessible over a network.

Virus - A malicious program which integrates into and affects a program or file

on a computer system, without the knowledge or consent of the user.

W32 - W32 is the platform designator for the version of Microsoft Windows

designed to run on computers systems with a 32-bit processor chip.

Variant - A malicious program that bears sufficient similarity to a previously

identified program to be categorized as a member of the same "family" of

malware.

Signature - A sufficiently unique section of code that can be used by an

antivirus application as a program's identifying marker. Depending on the

antivirus in question, a signature may also be known as a "detection" or

"definition".

Spam - A communication that is unsolicited and sent out in massive amounts. A

more formal term for this material is 'junk mail' or 'unsolicited bulk mail'.

Spoofing - The act of falsifying characteristics or data, usually in order to

conduct a malicious activity. For example, if a spam e-mail’s header is replaced

with a false sender address in order to hide the actual source of the spam, the e-

mail header is said to be ”spoofed”.

Source code - The human-readable form of a program's code.

Spyware - A program that may compromise a user's personal or confidential

information. Spyware may be installed on a system without a user's

authorization or knowledge.

SQL Injection - A type of attack that exploits poor user-input filtering to inject

and run executable command into improperly configured Structured Query

Language (SQL) databases. Technically, a few types of SQL injection attacks are

possible, but the end result of all successful SQL injection attacks is that an

attacker can manipulate or even gain total control over the database.

Stealth Virus - Any virus that attempts to keep its presence undetected can be

classed as a 'stealth virus'.

Time Bomb - A destructive action - usually performed by malware on a system

or network - that is triggered when a specific time or date condition is met.

Trojan - A program that appears to perform one action, while silently performing

another action without the knowledge or authorization of the user.

Rootkit - A standalone software component that attempts to hide processes,

files, registry data and network connections. The term 'rootkit' may also be used

to describe cloaking or stealth techniques a malware uses to hide itself or

disguise its actions.

Replication - The act of creating a copy of a malicious program's code, usually

in order to infect a new target, or distribute a copy to a new computer system.

'Replication' is often used interchangeably with the term, 'propagation'.

Resident - A virus which remains in a computer system's memory after it has

been executed and its host program has been closed is said to be 'resident' in

the memory.

Rogue - An antivirus or antispyware application that does not provide the

functionality claimed, and may not work at all. Rogues are often promoted by

deceptive or fraudulent means.

Patch - A small program, or code, issued by an application vendor in order to fix

issues or problems discovered in a program or operating system. Patches are

usually issued to fix bugs, vulnerabilities or usability issues.

Pharming - A type of social engineering attack in which a fraudulent website is

used to trick a user into giving out their sensitive personal information, such as

their banking or e-mail account details.

Phishing - A type of social engineering attack in which fraudulent

communications are used to trick the user into giving out sensitive information,

such as passwords, account information and other details. Phishing is a criminal

activity in many jurisdictions.

Polymorphic Virus - A virus that mutates, or modifies, its own code at various

intervals. The changes in code typically occur each time the virus replicates, or

infects a new machine.

Port - A type of data connection used by computer systems to transfer data

directly between two or more computers or resources.

Non-memory Resident - A virus that independently searches for and infects

new targets on a computer system, rather than installing itself into memory and

infecting executable files launched by the user.

Metamorphic Virus - A virus that rewrites its own code at each iteration, so

that each succeeding version appears different from the preceding one. Despite

the changes, the malware's functionalities remain the same.

Memory Resident - A virus that remains in a computer system's memory after

its host file has been closed is said to be 'resident' in the memory.

Macro - A type of scripted 'operation' found in some applications thats allows

users to automate certain functions or instructions.

Keylogger - A program or hardware component that surreptitiously monitors

and stores all the strokes typed into a keyboard. Some keylogger programs will

also forward the stored information to an external server for easier retrieval by

the attacker.

IRC Worm - A type of worm that uses Internet Relay Chat (IRC) networks to

spread copies of itself to new victim machines.

IIS Worm - A script or code that scans for and infects webservers running

Microsoft Internet Information Server (IIS) software.

Hacker - A general term mostly used by laypersons and the popular media to

refer to an individual who gains, or attempts to gain, unauthorized access to a

computer system or resource, usually for malicious or criminal purposes.

Generic Detection - A new type of sophisticated detection that is being

increasingly used by antivirus programs to identify programs with malicious

characteristics.

Firewall - A hardware device or application that regulates access to a computer

system or network.

File Virus - A type of virus that infects files saved on a computer system,

typically executable (EXE) and/or command (COM) files.

E-mail Worm - A standalone program that distributes copies of itself through e-

mail networks, usually in an infectious e-mail attachment. Often, these infected

e-mails are sent to e-mail addresses that the worm harvests from files on an

infected computer.

Exploit - An object, a program, a section of code, even a string of characters -

that takes advantage of a vulnerability in a program or operating system to

perform various actions.

Denial of Service (DoS) - A type of Internet-based attack that aims to deny

legitimate users access to a service (for example, a website or a network) by

overloading a relevant computer resource or network device.

Dropper - A malware whose primary aim is to drop other malware onto the

system.

Cookie - A simple data file containing information related to a website visitor's

activities. The information contained in the cookie can include such details as the

user's site preferences, contents of their electronic carts and so on.

Cross Site Scripting - A type of attack in which malicious scripts are injected

into a legitimate website in oder to be served to subsequent site visitors.

Click Jacking - A type of online attack that involves misappropriating a user's

actions on a website to perform unauthorized and unintended actions.

Backdoor - A remote administration utility which bypasses normal security

mechanisms to secretly control a program, computer or network. These utilities

may be legitimate, and may be used for legitimate reasons by authorized

administrators, but they may also be misused by attackers.

Bluetooth Worm - A platform-specific type of worm that propagates primarily

over a Bluetooth network. This type of worm is almost always designed to

function on mobile devices, which make more use of Bluetooth connectivity than

computers.

Boot Virus - This type of virus, more commonly known as a boot sector or boot

virus, infects the Master Boot Record (MBR) or DOS Boot Record (DBR) of a hard

drive, as well as the Floppy Boot Record (FBR) of floppy disks. Boot viruses are

quite rare nowadays, as most motherboards now have protection against boot

viruses - access to MBR is denied without user permission.

Brute Force - A type of attack that typically targets authentication mechanisms

such as passwords.

Antispyware - A program that scans the computer system for spyware

programs. Most anti-spyware programs include disinfection/removal functionality

in order to uninstall any spyware found on the system.

Antivirus - A program that scans for and identifies malicious files on a computer

system.

Antivirus Database - A collection of virus detections or signatures used by an

antivirus program during its scanning process to identify malware.

Използвана литература:

1. http://www.f-secure.com/en/web/home_global/home

2. http://www.symantec.com/index.jsp 3. http://www.eset.bg/ 4. http://www.microsoft.com/bg-

bg/security_essentials/default.aspx 5. http://www.kaspersky.com/homeuser?thru=reseller%3Dg

oogle_bsbul_k%26gclid%3DCPGUsf-zmagCFQEhfAodmB3J2g

6. http://www.zonealarm.com/ 7. http://technology.inc.com/security/articles/200609/firewal

l.html

8. http://www.antivirusworld.com/articles/antivirus.php