[Статья] Как сберечь информацию от хакера

Пиши. Интересно же.

Польностью согласен с предыдущим комментарием, интересно! На счет того, что пишешь не в тот раздел и какое ж это хакерство - так это с какой стороны посмотреть, не ужели нужно все на блюдичке подносить? вот в теме расписанно множество способов получения доступа к почте, кому нужно - тот сам найдет софт, придумает способ войти в доверие. Другие же подумают как обезопасить себя - интересно ж!
К слову - к второй главе еще бы добавил не выходить в интернет с общедоступного wi-fi , или тем, кто гонится за информацией - какой-нибудь анализатор сети и открытую точку доступа, допустим в макдональдсе, посидев пару часов с ноутом, можно много чего перехватить..

sonnenkreatur, Пиши пиши, и ни кого не слушай. Очень интересно. Да и новичкам будет полезно узнать, написано простым и понятным языком.

Ещё хотел бы увидеть дополнения от Megamozg.  Я думаю тебе есть что написать, ты просто стесняешся   

sonnenkreatur,
Спасибо за старания. Пиши и пофиг, критики всегда найдутся и будут ворчать, что не так что-то делаешь и т.д.

да я против разве, наоборот только за, просто хотелось бы чего нибудь поинтересней, тема социнженерии уже заеженна.

Прошу меня простить, все это время лежал в местной больничке. Так получилось, что потерял третью главу, не сделал вовремя копию. Ее буду переписывать, на начало, которое я выложил, внимания не обращайте.
Добавлено - хотя нет, буду писать по шаблону, который уже выложил.

Редактировался sonnenkreatur (2013-09-09 09 ч.)

sonnenkreatur, выздоравливай, мы ждем

Глава 3. "Нам не страшен вредный софт!"

               Солидная часть содержимого прилавков магазинов софта для Windows - всевозможные антивирусные утилиты, разрекламированные настолько, что пользователи, купив компьютер, сломя голову бегут за диском антивируса, к примеру, Касперского, совершенно не представляя себе, как они обойдутся без очередной баблотряски. Некоторые, напротив, впадают в другую крайность - кладут на безопасность своей электронной коробки большой и волосатый...суть не в этом, важно то, что и те, и другие делают ошибку, которую мы сейчас рассмотрим со всех сторон и подумаем, как же ее избежать.
               Начнем с того, что антивирусы, как мы знаем, постоянно обновляются, также некоторые "сходят с дистанции", а какие-то набирают популярность. Отчего это происходит? Просто создатели вредоносного софта не стоят на месте - они исследуют антивирусы настолько же усердно, насколько создатели антивирусов занимаются их детищами. И те, и другие находят лазейки в чужих программах, а приводит это в результате к обновлению антивируса, после которого тот борется с заразой еще усерднее, или появлению нового вируса (или модифицированного старого), который теперь не палится ровно до следующего обновления. Вирусы, заброшенные создателями (вирусом условно называю любой вредоносный софт), теряют свою силу - это просто бесполезный код, мусор.
               Антивирусы, не обновлявшиеся хотя бы месяц, не спасут от новой угрозы - помните винлоки? Те окошки, назойливо требующие отправить заветную SMS и никак не желавшие закрываться? Вот и пример - в начале нашествия винлоков бороться с ними было практически невозможно. Просто слишком уж неожиданно они появились, не предупредив. А вот через некоторое время (в общей сложности, винлоки радовали рядового пользователя с середины-конца 2007 года до конца 2011, только отдельные, самые хитрые) произошло следующее:
1. Антивирусы обзавелись методами обнаружения винлоков, что привело к сокращению носителей заразы более чем на две трети.
2. Так как создатели данного софта предусмотрели лазейку для себя и близких, заключающуюся в том, что винлок таки-имеет поле для ввода мифического "кода разблокировки", которое они и сделали небесполезным - появились службы, позволяющие разблокировать систему, при условии, что вам известны платежные реквизиты интернет-вымогателей.
               Есть данные о том, что творцы винлоков сотрудничали с крупнейшими операторами сотовой связи, поэтому, существовал в меру действенный метод - позвонить вышеупомянутым и наорать на них как следует, угрожая всеми возможными судами. Те в ответ сообщат вам код, который как бы невзначай где-то там подсмотрели, конечно же, это простое совпадение.
               Время винлоков прошло, тем не менее, надо бы привести пример борьбы с ним, а то как-то нехорошо получается. Никакого специализированного софта, только смекалка и "мирный" софт.

Собственно, пример

               Пользователь включает компьютер и видит заразу. Однако же, зараза не сочла нужным загораживать весь экран и блокировать оболочку, в результате работать с компьютером гемморойно, но возможно. Пользователь, для начала, запускает ArtMoney, которой когда-то учил пользоваться сынишку, проводящего дни и ночи за маленькими детскими немногопользовательскими радостями. Далее, он переключает Artmoney в режим отображения не процессов, а файлов-родителей процессов. Artmoney выдает - 07y%3d9.tmp. Выходит, этот самый чего-то там .tmp и является источником заразы. Подумаем, где может находиться файл с расширением .tmp? Там, где этих файлов так много, что он особенно и не выделяется, там, куда практически любая софтина может нагадить в виде временных файлов, которые она не считает нужным после себя удалить, там, куда рядовой пользователь просто не догадается заглянуть - в хранилище временных файлов. В данном примере, пользователь сидел за WinXP, поэтому он просто пошел в %системный_раздел%/Documents and Settings/%Имя_пользователя%/Local Settnigs/Temp и, не мудрствуя лукаво, произвел попытку вычистить ее под корень. Однако, попытка, скажем так, окончилась неудачей - вредоносный файлик никак не хотел удаляться, ссылаясь на то, что он уже используется другим процессом, и неплохо было бы этот самый "другой процесс" завершить. Каким образом, ведь в списке процессов его не видно, никакого намека на возможность его закрытия в самом окошке нет (как, впрочем, и нет окошка, по крайней мере, в списке приложений диспетчера задач, а также на панели задач)? На помощь приходит еще одна маленькая, но полезная утилита - Unlocker. Услужливый Unlocker, почуяв неладное в неудавшейся попытке удаления, тут же выскочил лаконичным окошком, в котором пользователь выбрал - "Удалить при перезагрузке", и нажал ОК. При следующей перезагрузке пользователь не бросился с радостью смотреть клубничку в IE6, а перво-наперво выполнил следующее:
1. Прошелся по временным файлам - папки %системный_раздел%/Documents and Settings/%Имя_пользователя%/Local Settnigs/Temp (да и вообще, все, что находится в Application Data и Local Settings, не мешает время от времени удалять, подумав перед этим, не стираете ли вы, к примеру, свой профиль Skype), посмотрел внимательно на записи в реестре - данные о запуске приложений, данные об оболочке, сценарии входа в систему и так далее (explorer.exe, winlogon.exe, и так далее), удалил подложные системные файлы и их "двойники" - "scvhost.com", "rundll23.exe", "explore.exe" и прочую туфту, пытающуюся выдать себя за системные файлы - это устранение остатков заразы. Вообще говоря, способов отличить часть системы Windows от подставной DLL или исполняемого файла великое множество, вот лишь некоторые из них:
- Просто посмотрите в Свойства -> Совместимость. "Режим совместимости не может быть установлен для этой программы, так как она является частью Windows" - хороший знак, однако такое вы увидите далеко не во всех системных файлах.
- Снимите контрольную сумму с подозреваемого файла и сравните с контрольной суммой [имя_файла].[расширение_файла_без_последней_буквы,_замененной_тире_в_нижнем_регистре,_это_той,_которая_тут_вместо_пробела_если_сомневаетесь_обратитесь_к_специалисту], находящегося в каталоге I386 (amd64 как вариант), который находится в корневом каталоге установочного диска системы. Переименовать не забудьте - потом, если контрольные суммы не сходятся, поставьте файл с диска на место своего файла, а свой удалите.
- Посмотрите, нет ли в имени файла сюрприза в виде "nt0skrnl.exe" или чего-то вроде русской буквы в середине латинского названия. Учить не надо.
- Посмотрите на размер. К примеру, пресловутая svchost.exe является опорной точкой для большинства служб Windows, однако весит она при этом меньше двадцати килобайт - это, скажем так, хост-процесс, лишь каркас этих самых служб, сами службы находятся в многочисленных DLL. А сколько весит Delphi-программка, написанная школьником-индусом? Вот. Просто сравните.
- Посмотрите в описание. Автор статьи бесчисленное множество раз встречал шедевры вроде "Библиотека динамической компоновки" в описании исполняемого файла, или попытку выдать что-то заумное типа "Обеспечение системной безопасности", "Служба доступа к сети", "Провайдер Интернет", и прочее. Расчет идет на неопытного пользователя, для которого "системная безопасность" или "доступ к сети" являются священной коровой - "вдруг чего-нибудь накручу, потом придется мастеров звать, денежку платить". Но если подумать - каким образом неопытного пользователя занесло в описания файлов, находящихся в системном каталоге? То же самое относится и к локам браузера - понапридумывают заразных расширений, ускоряющих работу компьютера, интернета и мозга в 999 раз, и сидишь потом, сквозь смех их отключаешь. Не беспокойтесь, заразные расширения потом не включатся сами, их можно даже не удалять, кстати говоря.
- Используйте taskman.exe - Диспетчер задач Windows. Если он заблокирован винлоком - ручками, cmd.exe -> tasklist и taskkill, оба с параметром /?. Вообще, самый ценный параметр, это как Самая Главная Команда окружения GNU - man.
Используйте его не только для легкого и ненапряжного убийства процессов, но и для отслеживания затрат памяти. Подозрительно, когда winlogon.exe вдруг начинает отъедать 50 Мб вместо обычных пяти, верно?
Если вы еще не забыли, говорим мы о том, что сделал пользователь после устранения заразы. А сделал он, помимо зачистки остатков, еще и:
2. Профилактику - создал ограниченного пользователя, создал админа, пароль назначил обоим (ОБОИМ, и разные пароли, и уникальные пароли, и защищенные пароли, потому что спереть файлик с хэшами в NT- и 6.x системах проще простого, а тогда можно перебрать значения хэшей по радужным таблицам (или вручную, если очень приспичит), и получить пароль, и не дай Бог он  окажется паролем от чего-нибудь еще. Собственно, это уже социнженерия. Так вот, в случае чего, зловредная софтина от имени админа просто так не запустится. В Windows есть еще системный профиль, это тот, который SYSTEM, но его лучше не трогать - он защищен и без вас, поскольку создатели простенькой заразы о нем, как правило, не знают. Подхватили заразу, нажимаем Win+L (должна быть включена служба быстрого переключения пользователей), логинимся в админа, чистим заразу (уже знаем, как), а дальше логинимся опять из-под зараженного пользователя, и чистимся окончательно, поскольку админ, к сожалению, не имеет доступа прямо совсем ко всем папкам, пользовательские не трогает даже он. Полезный совет - если найдете папочку systemprofile, и догадаетесь переместить ее, куда надо, вы получите чудесную возможность подглядывать абсолютно за всеми пользователями системы. Эдакий суперпользователь, только в форточках.  Я что-то слышал про создание двух админов, чтобы одного не жалко было, но это лишнее. Это для тех, кто лезет в учетку админа, не зная об опции "Запуск от имени". Это бесконечно полезная опция - если заподозрили какой-нибудь, скажем, инсталлятор, запускаете его от имени себя, поставив галку "Запретить несанкционированный доступ к данным". Если выдаст ошибку, связанную с невозможностью создания временного файла - все пучком, если промолчит, это говорит о том, что система оповещений об ошибках создателем не осилена, и тут, скорее всего, что-то нехорошее. Браузер также необходимо защитить. Не нужно смотреть на название, смотреть необходимо на версию. Свежая = защищенная, к примеру, дефолтный в WinXP IE6 дыряв просто потому, что ему уже больше десятка (поправьте, если я не прав). В таком возрасте у собачек не всегда стоит, не то, что у браузеров. А вот обновить его до, к примеру, десятого, и все будет хорошо. Далее Сервис -> Свойства обозревателя -> Безопасность и Конфиденциальность. Куки - на минимум, в Безопасности лезем в ручное управление, JS и все такое прочее - Отключить или Предлагать (Лучший вариант. Согласитесь, если какой-нибудь *****obest.com предлагает включить JS, это разве не говорит о том, что он затеял что-то неладное?). В случае чего, браузер предупредит, что какая-то сайтовая фича не работает, и предложит вручную разрешить ее.
3.  Попытку понять, откуда он подцепил заразу. Вспоминаем, когда все началось, вспоминаем, что запускали, по каким сайтам лазили, понимаем, где прокололись и обещаем себе больше так не делать.
Подытожим. От всех описанных мной мер есть контра, но вирусописатели предпочли не заморачиваться с ней. Поленились, поэтому винлоки, собственно говоря, и умерли. Система, защиту которой я описал, является моей любимой ОС, несмотря на всякие убунты-бэктрэки, однако она, к сожалению, устаревает. Не поддерживают ее, и все тут. Просто забросили мою хрюшу, взялись за семерки-восьмерки (по факту шестерки-семерки, скорее всего, тут замешаны русские из Microsoft).  Без обновления софт загнивает за месяцы. Любой софт.
 
Воды очень много, пишу урывками, но столько всего еще охота написать...Следующий кусок - про обнаружение троянов, опять же, без лишнего софта, их удаление, и приблизительное определение атакующего, если повезет.

Редактировался sonnenkreatur (2013-09-10 17 ч.)

Blaxblox, спасибо огромное, выздоравливаю. Только что увидел, что ты здесь, ну ты понял, как увидел. :smile: А вообще-то говоря, мой огромный, но не безграничный отпуск заканчивается послезавтра, так что мне здесь часто и подолгу все равно не бывать, к сожалению.

Редактировался sonnenkreatur (2013-09-10 18 ч.)

sonnenkreatur, интересно читать, хоть и ничего нового
Я бы добавил про хранение паролей. Лучший способ на сегодня имхо - использовать один очень сложный мастер-пароль для дешифрации всех остальных, случайно сгенерированных. Шифрование - любое опенсорсное на выбор - gpg, keepass, openssl и т.д. Ну и Diceware не забывать.

P.S. Добавил тему в объявления

не думаю что от винды может что то спасти