Основной целью атаки рабочей
станции является, конечно, получение данных,
обрабатываемых, либо локально хранимых на ней. А
основным средством подобных атак до сих пор
остаются "троянские" программы. Эти
программы по своей структуре ничем не отличаются
от компьютерных вирусов, однако при попадании на
ЭВМ стараются вести себя как можно незаметнее.
При этом они позволяют любому постороннему лицу,
знающему протокол работы с данной троянской
программой, производить удаленно с ЭВМ любые
действия. То есть основной целью работы подобных
программ является разрушение системы сетевой
защиты станции изнутри пробивание в ней
огромной бреши.
Для борьбы с троянскими программами
используется как обычное антивирусное ПО, так и
несколько специфичных методов, ориентированных
исключительно на них. В отношении первого метода
как и с компьютерными вирусами необходимо
помнить, что антивирусное ПО обнаруживает
огромное количество вирусов, но только таких,
которые широко разошлись по стране и имели
многочисленные преценденты заражения. В тех же
случаях, когда вирус или троянская программа
пишется с целью получения доступа именно к Вашей
ЭВМ или корпоративной сети, то она практически с
вероятностью 90% не будет обнаружена стандартным
антивирусным ПО.
Те троянские программы, которые
постоянно обеспечивают доступ к зараженной ЭВМ,
а, следовательно, держат на ней открытый порт
какого-либо транспортного протокола, можно
обнаруживать с помощью утилит контроля за
сетевыми портами. Например, для операционных
систем клона Microsoft Windows такой утилитой является
программа NetStat . Запуск ее с ключом "netstat
-a " выведет на экран все активные порты ЭВМ.
От оператора в этом случае требуется знать порты
стандартных сервисов, которые постоянно открыты
на ЭВМ, и тогда, любая новая запись на мониторе
должна привлечь его внимание. На сегодняшний
день существует уже несколько программных
продуктов, производящих подобный контроль
автоматически.
http://kiev-security.da.ru
В отношении троянских программ,
которые не держат постоянно открытых
транспортных портов, а просто методически
пересылают на сервер злоумышленника какую-либо
информацию (например, файлы паролей или полную
копию текста, набираемого с клавиатуры), возможен
только сетевой мониторинг. Это достаточно
сложная задача, требующая либо участия
квалифицированного сотрудника, либо громоздкой
системы принятия решений.
Поэтому наиболее простой путь, надежно
защищающий как от компьютерных вирусов, так и от
троянских программ это установка на каждой
рабочей станции программ контроля за
изменениями в системных файлах и служебных
областях данных (реестре, загрузочных областях
дисков и т.п.) так называемых адвизоров (англ.
adviser уведомитель). |