Интернет похож на минное поле планетарного масштаба, на котором можно легко столкнуться с опасностями.
1. Вредоносные программы и в первую очередь трояны, обитаю¬щие на мошеннических сайтах. Они обычно маскируются под полезное ПО, и эти «привлекательные» программы загружает и устанавливает на свой ПК сам посетитель Сети.
2. Веб-сайты, использующие уязвимость браузера для загрузки вредоносных программ. Причем страницы с опасным кодом могут размещаться и на вполне благопристойных сайтах, подвергшихся атаке со стороны злоумышленников.
3. Фишинговые сайты, имитирующие интерфейс популярных сайтов (от почтовых сервисов и социальных сетей до платежных систем) с целью получения учетных данных посетителя.
4. Спам-рассылки, которые получают пользователи практически всех существующих средств коммуникации: электронной
почты, службы мгновенных сообщений, социальных сетей и т.д. Такие сообщения могут содержать и сугубо рекламную информацию, и ссылки на фишинговые или распространяющие вредоносное программное обеспечение сайты
5. Перехват данных, передаваемых в не зашифрованном виде. При этом конфиденциальная информация может попасть в руки злоумышленников
На самом деле всех неприятностей, связанных с выходом в Сеть, можно избежать, соблюдая элементарные правила безопасности
Защитите физический доступ к компьютерам
Ваша система может быть защищена и заблокирована новейшими средствами, но если злоумышленник получит к ней физический доступ, все ваши усилия будут сведены к нулю. Удостоверьтесь, что компьютеры никогда не остаются без присмотра.
Не используйте административные учетные записи для ежедневной работы
В эпоху Windows NT, до появления клиента Подключение к удаленному рабочему столу (Remote Desktop Connection) и команды runas, администраторы зачастую помещали собственные личные учетные записи в группу Администраторы домена (Domain Admins). В настоящее время это делать не рекомендуется; лучше создавать дополнительные административные учетные записи Active Directory (например, для себя я мог бы создать личную учетную запись rallen и административную учетную запись rallen.adm). Для запуска программ, требующих административных привилегий, используйте службу подключения к удаленному рабочему столу или команду runas. Это снизит шанс (хотя и не сильно) случайного повреждения системы.
Использование обычной учетной записи пользователя также уменьшает возможные повреждения, которые может нанести системе вирус или червь.
Регулярно обновляйте вирусные определения и антишпионские приложения
Одна из причин столь высокой скорости распространения вирусов заключается в том, что определения вирусов обновляются слишком редко. В наши дни новые вирусы и черви появляются с ужасающей частотой, и чтобы суметь противостоять вирусной угрозе, необходимо использовать новейшие определения. То же относится и к шпионским программам, превратившимся сегодня в едва ли не большую проблему, чем вирусы.
Удостоверьтесь, что на компьютере установлены все критические пакеты исправлений
Даже если вирусные определения обновляются не так часто, как следовало бы, большинство вирусов и червей можно остановить еще на входе в систему, если устанавливать критические обновления безопасности сразу же, как только они становятся доступны. Конечно, когда повсеместно использовалась Windows NT и только что вышла Windows 2000, в этом не было суровой необходимости, но сегодня система, в которой новые обновления безопасности не устанавливаются в течение нескольких дней (а иногда минут) после выхода, совершенно открыта для новых вирусов и червей. Мы рекомендуем поместить адрес следующего веб-сайта в список избранного и периодически посещать его, чтобы не отстать от новейших технологий безопасности Microsoft:
http://windowsupdate.microsoft.com .
Включите аудит важных действий
В Windows предусмотрена возможность регистрации определенных действий и деятельности системы; благодаря этому можно проследить по журналу событий необходимые действия, например модификацию определенных файлов, в случае если возникнет угроза безопасности.
Регулярно проверяйте журналы событий
В журналах событий можно найти множество важных сведений относительно безопасности системы, однако о них часто забывают. Помимо прочего, причиной этого является большое количество «мусора» в журналах, то есть сообщений о незначительных событиях. Разработайте процесс централизации и регулярного анализа журналов событий. Наличие механизма регулярного сканирования журналов особенно поможет вам при аудите важных действий, о которых говорится в предыдущем разделе.
Разработайте план действий на случай атаки
Большинство людей думают, что с ними никогда не произойдет ничего подобного, но жизнь показывает, что это далеко пе так. В действительности большинство пользователей пе обладают даже частью тех знаний о безопасности, которыми могут похвастаться «профессиональные» злоумышленники. Если определенный злоумышленник (или, что еще хуже, группа злоумышленников) положит глаз на вашу организацию, вам понадобится проявить всю свою ловкость, смекалку и знания, чтобы предотвратить проникновение в систему. Атакам подвергались даже крупнейшие компании в мире. Мораль такова: каждый должен быть готов к тому, что целью очередной атаки может стать его система. Что же делать?
Вот несколько полезных ссылок, которые помогут вам разработать план реагирования на события.
Необходимость думать о сетевой безопасности почему-то считается правом только больших компаний, типа Badoo , Google и Google , Яндекс или Telegram , которые открыто объявляют конкурсы за нахождение уязвимостей и всеми способами поднимают безопасность своих продуктов, веб-приложений и сетевых инфраструктур. При этом подавляющее большинство существующих веб-систем содержат «дыры» различного характера (исследование за 2012 год от Positive Technologies , уязвимости средней степени риска содержат 90% систем).
Что такое сетевая угроза или сетевая уязвимость?
WASC (Web Application Security Consortium) выделял несколько базовых классов, каждый из которых содержит несколько групп, в общей сложности уже 50 , распространенных уязвимостей, использование которых может нанести ущерб компании. Полная классификация выложена в виде WASC Thread Classification v2.0 , и на русском языке есть перевод предыдущей версии от InfoSecurity - Классификация угроз безопасности Web-приложений , который будет использован за основу классификации и существенно дополнен.
Основные группы угроз безопасности сайтов
Недостаточная аутентификация при доступе к ресурсам
В эту группу угроз входят атаки на основе Подбора (Brute Force), Злоупотребление функционалом (Abuse of Functionality) и Предсказуемое расположение ресурсов (). Основное отличие от недостаточной авторизации заключается в недостаточной проверке прав (или особенностей) уже авторизованного пользователя (например, обычный авторизованный пользователь может получить права администратора, просто зная адрес панели управления, если не производится достаточная проверка прав доступа).
Эффективно противодействовать таким атакам можно только на уровне логики приложения. Часть атак (например, слишком частый перебор) могут быть заблокированы на уровне сетевой инфраструктуры.
Недостаточная авторизация
Сюда можно отнести атаки, направленные на легкость перебора реквизитов доступа или использование каких-либо ошибок при проверке доступа к системе. Кроме техник Подбора (Brute Force) сюда входит Угадывания доступа (Credential and Session Prediction) и Фиксация сессии (Session Fixation).
Защита от атак этой группы предполагает комплекс требований к надежной системе авторизации пользователей.
Сюда входят все техники изменить содержимое веб-сайта без какого-либо взаимодействия с сервером, обслуживающим запросы - т.е. угроза реализуется за счет браузера пользователя (но при этом обычно сам браузер не является «слабым звеном»: проблемы заключаются в фильтрации контента на стороне сервера) или промежуточного кэш-сервера. Виды атак: Подмена содержимого (Content Spoofing), Межсайтовые запросы (XSS, Cross-Site Scripting), Злоупотребление перенаправлениями (URL Redirector Abuse), Подделка межсайтовых запросов (Cross-Site Request Forgery), Расщепление HTTP-ответа (HTTP Response Splitting , Контрабанда HTTP-ответа (HTTP Response Smuggling), а также Обход маршрутизации (Routing Detour), Расщепление HTTP-запроса (HTTP Request Splitting) и Контрабанда HTTP-запроса (HTTP Request Smuggling).
Значительная часть указанных угроз может быть блокирована еще на уровне настройки серверного окружения, но веб-приложения должны также тщательно фильтровать как поступающие данные, так и ответы пользователя.
Выполнение кода
Атаки на выполнение кода являются классическими примерами взлома сайта через уязвимости. Злоумышленник может выполнить свой код и получить доступ к хостингу, где расположен сайт, отправив определенным образом подготовленный запрос на сервер. Атаки: Переполнение буфера (Buffer Overflow), Форматирование строки (Format String), Целочисленное переполнение (Integer Overflows), LDAP внедрение (LDAP Injection), Mail внедрение (Mail Command Injection), Нулевой байт (Null Byte Injection), Выполнение команд ОС (OS Commanding), Исполнение внешнего файла (RFI, Remote File Inclusion), Внедрение SSI (SSI Injection), Внедрение SQL (SQL Injection), Внедрение XPath (XPath Injection), Внедрение XML (XML Injection), Внедрение XQuery (XQuery Injection) и Внедрение XXE (XML External Entities).
Не все из указанных типов атак могут касаться вашего сайта, но корректно они блокируются только на уровне WAF (Web Application Firewall) или фильтрации данных в самом веб-приложении.
Разглашение информации
Атаки этой группы не являются угрозой в чистом виде для самого сайта (поскольку сайт никак от них не страдает), но могут нанести вред бизнесу или использованы для проведения других типов атак. Виды: Отпечатки пальцев (Fingerprinting) и Обход директорий (Path Traversal)
Правильная настройка серверного окружения позволит полностью защититься от таких атак. Однако, также нужно обратить внимание на страницы ошибок веб-приложения (они могу содержать большое количество технической информации) и работу с файловой системой (которая может быть компрометирована недостаточной фильтрацией входных данных). Также бывает, что в поисковом индексе появляются ссылки на какие-либо уязвимости сайта, и это само по себе является существенной угрозой безопасности.
Логические атаки
В этой группе отнесли все оставшиеся атаки, возможность которых заключается, в основном, в ограниченности серверных ресурсов. В частности, это Отказ в обслуживании (Denial of Service) и более точечные атаки - Злоупотребление SOAP (SOAP Array Abuse), Переполнение XML-атрибутов XML Attribute Blowup и Расширение XML-сущностей (XML Entity Expansion).
Защита от них только на уровне веб-приложений, либо блокировки подозрительных запросов (сетевое оборудование или веб-прокси). Но при появление новых видов точечных атак необходимо проводить аудит веб-приложений на предмет уязвимости им.
DDoS-атаки
Как должно быть понятно из классификации, DDoS-атака в профессиональном смысле - это всегда исчерпание ресурсов сервера тем или иным способом (вторая D - это Distributed, т.е. распределенная DoS атака). Другие методы (хотя и упомянуты в Википедии) напрямую к DDoS-атаке отношения не имеют, но представляют тот или иной вид уязвимости сайта. Там же в Википедии достаточно подробно изложены методы защиты, здесь их дублировать не буду.
Avast всегда пытается быть впереди, когда дело касается защиты пользователей от новых угроз. Все больше и больше людей смотрят фильмы, спортивные трансляции и телешоу на смарт ТВ. Они контролируют температуру в своих домах с помощью цифровых термостатов. Они носят смарт-часы и фитнес-браслеты. В результате потребности в безопасности расширяются за пределы персонального компьютера, чтобы охватить все устройства в домашней сети.
Тем не менее, домашние роутеры, которые являются ключевыми устройствами инфраструктуры домашней сети, часто имеют проблемы безопасности и обеспечивают простой доступ хакерам. Недавнее исследование компании Tripwire показало, что 80 процентов самых продаваемых роутеров имеют уязвимости. Более того, самые распространенные комбинации для доступа к административному интерфейсу, в частности admin/admin или admin/без пароля используется в 50 процентах роутеров по всему миру. Еще 25 процентов пользователей используют адрес, дату рождения, имя или фамилию в качестве паролей к роутеру. В результате более 75 процентов роутеров по всему миру являются уязвимыми для простых парольных атак, что открывает возможности развертывании угроз в домашней сети. Ситуация с безопасностью маршрутизаторов сегодня напоминает 1990-е, когда новые уязвимости обнаруживались каждый день.
Функция “Безопасность домашней сети”
Функция “Безопасность домашней сети” в Avast Free Antivirus , Avast Pro Antivirus , Avast Internet Security и Avast Premier Antivirus позволяет решать перечисленные проблемы с помощью сканирования настроек роутера и домашней сети на предмет потенциальных проблем. В Avast Nitro Update движок обнаружений инструмента “Безопасность домашней сети” был полностью переработан – была добавлена поддержка многопоточного сканирования и был реализован улучшенный детектор взлома DNS. Движок теперь поддерживает сканирования протокола ARP и сканирования портов, выполняемых на уровне драйвера ядра, что позволяет в несколько раз ускорить проверку по сравнению с предыдущей версией.
“Безопасность домашней сети” может автоматически блокировать атаки на роутер с кросс-сайтовыми фальшивыми запросами (CSRF). CSRF-эксплойты эксплуатируют уязвимости сайтов и позволяют киберперступникам передавать несанкционированные команды на веб-сайт. Команда имитирует инструкцию от пользователя, который известен сайту. Таким образом, киберпреступники могут выдавать себя за пользователя, например, переводить деньги жертвы без ее ведома. Благодаря CSRF-запросам, преступники могут удаленно вносить изменения в настройки роутера для того, чтобы перезаписать параметры DNS и перенаправить трафик на мошеннические сайты
Компонент “Безопасность домашней сети” позволяет сканировать настройки домашней сети и роутера на предмет потенциальных проблем безопасности. Инструмент обнаруживает слабые или стандартные пароли Wi-Fi, уязвимые роутеры, скомпрометированные подключения к Интернету и включенный, но не защищенный протокол IPv6. Avast выводит список всех устройств в домашней сети, чтобы пользователи могли проверить, что только известные устройства подключены. Компонент предоставляет простые рекомендации по устранению обнаруженных уязвимостей.
Инструмент также уведомляет пользователя о подключении новых устройств к сети, подключенным к сети телевизорам и другим устройствам. Теперь пользователь может сразу обнаружить неизвестное устройство.
Новый проактивный подход подчеркивает общую концепцию обеспечения максимальной всесторонней защиты пользователей.
До недавнего времени я даже не знал, что роутер Avast пугает своих пользователей "страшными" предупреждениями относительно их роутеров. Как оказалось, антивирус Avast проводит проверку Wi-Fi роутеров. Он выдает результаты, что маршрутизатор настроен неправильно, устройство уязвимо для атак, или вообще, что роутер заражен и инфицирован, а злоумышленники уже перехватили DNS-адреса и успешно переправляют вас на вредоносные сайты, крадут данные кредитных карт и вообще все очень плохо. Все эти предупреждения конечно же приправлены опасным красным цветом и запутанными инструкциями, в которых даже хороший специалист без пива не разберется. Я не говорю уже об обычных пользователях. Вот так выглядят найденные проблемы на роутере D-Link DIR-615:
Устройство уязвимо для атак:
Из вариантов решения конечно же обновление прошивки роутера. Ибо что еще 🙂 Так же Avast может выдавать сообщение, что ваш роутер защищен слабым паролем, или роутер не защищен от взлома.
В отдельных случаях можно увидеть сообщение, что ваш роутер инфицирован , и соединения перенаправляются на вредоносный сервер. Антивирус Avast объясняет это тем, что ваш роутер был взломан, и в нем были изменены DNS-адреса на вредоносные. И там же предоставлены инструкции по решению этой проблемы для разных роутеров: ASUS, TP-Link, ZyXEL, D-Link, Huawei, Linksys/Cisco, NETGEAR, Sagem/Sagemco.
Если коротко, то все эти рекомендации направлены на проверку DNS-адресов, и служб связанных с DNS. Через которые злоумышленники могут сменить DNS на вашем роутере и перенаправлять вас на свои вредоносные сайты. Там есть подробные инструкции как все проверить на маршрутизаторах разных производителей.
Как реагировать на предупреждении от Avast об уязвимости роутера?
Думаю, этот вопрос интересует всех. Тем более, если вы зашли на эту страницу. Если вам интересно, как бы я отреагировал на такие предупреждения со стороны антивируса, то ответ простой – никак. Я уверен, что и в моем роутере Avast нашел бы дыры, через которые меня могут взломать. У меня просто Dr.Web. Он таких проверок не делает.
Возможно я ошибаюсь, но ни один антивирус кроме Avast не проверяет Wi-Fi роутеры к которым вы подключены на разного рода уязвимости. А эта функция, которая называется Home Network Security появилась еще в 2015 году. В версии программы Avast 2015.
Avast сканирует маршрутизатор на наличие проблем в безопасности устройства. Хотя, мне не до конца понятно, как он это делает. Например, как он проверяет то же пароль на вход в настройки роутера. Следит за пользователем, или методом подбора? Если подобрал – пароль плохой 🙂 Хотя ладно, я не программист.
Лично я считаю, что все эти предупреждения не боле чем простые рекомендации по усилению защиты вашего маршрутизатора. Это не значит, что вас уже кто-то взломал и ворует ваши данные. Что предлагает Avast:
- Установить хороший пароль и обновлять прошивку роутера. Мол в противном случае вас могут взломать. Ok, это и так понятно. Об этом не обязательно сигнализировать как о какой-то страшной уязвимости. Хотя снова же, мне не понятно, как антивирус определяет что версия программного обеспечения маршрутизатора устарела. Мне кажется, это невозможно.
- Роутер не защищен от подключений из интернета. Скорее всего такое предупреждение появляется после проверки открытых портов. Но по умолчанию, на всех роутерах функция "Доступ из WAN" отключена. Я очень сомневаюсь, что кто-то будет взламывать ваш роутер через интернет.
- Ну и самое страшное, это подмена DNS-адресов. При обнаружении каких-то проблем с DNS, Avast уже прямым текстом пишет о том, что "Ваш роутер инфицирован!". Но в 99% случаев это не так. Снова же, практически всегда роутер автоматически получает DNS от провайдера. А все функции и службы, через которые злоумышленники как-то могут подменить DNS, отключены по умолчанию. Мне кажется, что очень часто антивирус неправильно "понимает" какие-то пользовательские настройки.
Как-то так. Вы конечно же можете со мной не согласиться. Мне кажется, что намного проще получить доступ непосредственно к компьютеру, и заразить его, чем делать это с маршрутизатором. Если мы говорим об атаке через интернет. Буду рад увидеть ваше мнение по этому поводу в комментариях.
Как защитить роутер и убрать предупреждение от Avast?
Давайте попробуем разобраться с каждым пунктом, который скорее всего проверяет Avast и выдает предупреждения.
- Роутер защищен слабым паролем. Отсутствует шифрование. В первом случае антивирус имеет введу пароль, который нужно вводить при входе в настройки маршрутизатора. Как правило, по умолчанию пароль admin. Или вообще не установлен. И получается, что все, кто подключен к вашей сети могут зайти в настройки роутера. Поэтому, этот пароль нужно менять. Как это сделать, я писал в статье: . Что касается пароля Wi-Fi сети, то он так же должен быть надежным, и должен использоваться тип шифрования WPA2. Об этом я всегда пишу в инструкциях по настройке роутеров.
- Роутер уязвим из-за старого ПО. Это не совсем так. Но, если для вашей модели маршрутизатора есть новая прошивка, то его желательно обновить. Не только для повышения безопасности, но и для более стабильной работы устройства и новых функций. У нас на сайте есть инструкции по обновлению ПО для маршрутизаторов разных производителей. Можете найти через поиск, или спрашивайте в комментариях. Вот и для .
- Параметры DNS были изменены. Роутер взломан. Честно говоря, таких случаев я еще не видел. Как я уже писал выше, все службы, через которые это может произойти по умолчанию отключены. Чаще всего роутер получает DNS от провайдера автоматически. Единственное, что я могу посоветовать, это не прописывать вручную DNS-адреса, в которых вы не уверены. И если указываете вручную адреса, то лучше используйте только DNS от Google, которые: . Это так же советуют в рекомендациях Avast, которые можно посмотреть на официальном сайте: . Там есть подробные инструкции по решению проблем с DNS практически для всех роутеров.
На этом все. Надеюсь, мне удалось хоть немного пояснить данные предупреждения в антивирусе Avast. Задавайте вопросы в комментариях, и не забывайте делится полезной информацией по данной теме. Всего хорошего!
Как часто мы сталкиваемся с проблемой безопасности нашего компьютера, когда дело касается интернета. Угроз со стороны Всемирной паутины множество. И уж тем более, если за компьютером неопытный пользователь. Ведь с развитием интернет-технологий параллельно развиваются и различного рода интернет угрозы. К ним относятся вирусные программы, спамы, и так далее. Поэтому в наших интересах уметь распознавать и предупреждать вред, который может быть нанесен важным программам или операционной системе в целом, сохранив при этом время и финансовые ресурсы, которые впоследствии могут быть потрачены на восстановление данных.
Фишинг
К наиболее опасным интернет угрозам относится фишинг. Это вид интернет мошенничества, который основывается на получении доступа к личным данным. Происходить это может через электронные письма, отправленные якобы от известной компании. В результате пользователь, ничего не подозревая, переходит по ссылке, указанной в письме, и попадает на сайт, на котором просят предоставить свои данные. Таким образом, мошенники получают конфиденциальные данные человека. Поэтому будьте бдительны и не оставляйте свои личные данные, если не уверены в надежности ресурса.
Вирусы
Самыми распространенными являются вирусные программы. В зависимости от вида, нанести вред компьютеру они могут разный. Одни влияют на работу программного обеспечения, другие крадут логины и пароли, третьи рассылают спам с Вашего IP адреса, а четвертые используют Ваш компьютер для проведения сетевых атак.
Элементарные правила безопасности
К обязательным средствам защиты компьютера относятся , желательно лицензированные или с часто обновляемой вирусной базой. Можно отметить, что такой программой Вы обезопаситесь и при отсутствии доступа к интернету, если, конечно, не хотите, чтобы Вам преподнесли «подарок» на съемном носителе. Для дополнительной защиты используйте сетевые экраны и программы для фильтрации спама. Не мало важно вовремя обновлять программное обеспечение, которое Вы используете. И придерживайтесь таких рекомендаций:
- не скачивайте неизвестные файлы;
- не переходите по подозрительным ссылкам;
- не используйте простые и короткие пароли;
- не предоставляйте пароли никому;
- не посещайте сайты сомнительного содержания;
- будьте внимательны при использовании интернета в общественных местах, поскольку велика вероятность того, что Ваш пароль будет украден.
