Через интернет происходит наибольшее число заражений вирусами. Вредоносное ПО несёт прямую угрозу безопасности данных и стабильности работы системы в целом. Расхожее мнение, что невозможно поймать вирус, если не ходить по сайтам для взрослых – ошибочно. Напротив, статистика показала, что больше всего вирусов на обычных сайтах. Нести угрозу могут даже популярные порталы, которые были взломаны хакерами. Есть два основных варианта инфицирования в интернете: социальная инженерия и массовое заражение.
Большое значение имеет операционная система, с которой вы работаете в интернете. Самой чувствительной к вирусам традиционно является Microsoft Windows. Именно для Windows каждый год создаются десятки тысяч новых вредоносов. Пользователи Windows должны быть максимально бдительными, и эта статья касается, в основном, их. Смартфоны на базе ОС Android также подвержены заражению, но серьёзные угрозы для телефона выпускают реже. Для операционных систем MacOS, iOS и Linux существует очень мало вирусов, однако от атак по методу социальной инженерии это не спасает.
Вредоносные веб-ресурсы
Очень легко получить вирус, скачивая и запуская инфицированные программы. Вы можете скачать программу для Windows, запустить и даже пользоваться ей, и ничего не вызовет подозрений. Вредоносный код содержится в начале полезного программного кода, и в момент запуска управление переходит к нему. Вирусный код исполняется, заражает компьютер и передаёт управление основной программе.
Есть несколько полезных советов, которые помогут не заразиться, запуская программы из интернета:
- Скачивайте программы известных разработчиков с официальных сайтов
- Держитесь подальше от торрент-трекеров и файлообменников, типа DepositFiles, TurboBit и др.
- Остерегайтесь взломанных версий программ и патчей для лицензионного софта
Но непрошенный гость может поселиться в компьютере даже без явного запуска программ с вирусом. Эксплойты (exploit) – это вредоносный код, который использует уязвимости браузера, его расширений, установленного программного обеспечения, операционной системы или её компонентов. Сам по себе эксплойт не может нанести вред данным или компьютеру, но уязвимость ПО позволяет эксплойту изменить настройки браузера или системы, в основном для повышения привилегий и выполнения кода. В итоге, эксплойт может загрузить и запустить настоящий вирус.
Нередко, эксплоиты пытаются убедить пользователя, что для работы сайта нужно установить дополнительное расширение или другое ПО, просят дать разрешение на выполнение какого-либо действия, например что-то обновить. Задействуются такие уловки, как вывод в окно браузера разрешения экрана пользователя, информации о системе и программном окружении, может быть даже распечатана страничка на принтере со словами «привет от хакеров» ?.
Предлагается устранить брешь в безопасности и установить обновление, либо даже купить «фирменный» антивирус, который окажется трояном, т.е. продают вирус за деньги! На самом деле, простой код Javascript, который исполняется на всех сайтах, способен получить вышеуказанную информацию, и это не брешь в безопасности.
Впрочем, эксплойт может работать самостоятельно, ни выдавая себя. Разработчики браузеров, операционных систем и другого софта постоянно выпускают заплатки безопасности, чтобы устранить уязвимости, но это инерционный процесс. После появления угрозы и до выхода обновления безопасности может пройти несколько дней или недель. Такие уязвимости, известные только их первооткрывателю, называются угрозы нулевого дня (0-day).
- Наиболее уязвимы дополнения:
- Adobe Flash
- Oracle JAVA
- Acrobat PDF
- Microsoft Silverlight
- MS Office
- ActiveX для Internet Explorer
Неиссякаемый источник проблем был в технологиях Flash и JAVA. В последние годы от них активно отказываются, и даже разработчики настоятельно рекомендуют не пользоваться этими компонентами. Но пока не все сайты перешли на более безопасные технологии, такие как HTML5, браузеры вынуждены продлевать поддержку, а тот же Flash Player выпускает обновления каждую неделю.
Рекомендуется не включать Flash Player без особой необходимости. Например, в браузере Google Chrome флеш-плеер выключен по умолчанию. Если зайти на сайт с флеш-плеером, то хром спросит разрешение на запуск проигрывателя, и такая практика оправдана из соображений безопасности.
Эксплойты не так легко обнаружить с помощью сигнатурного сканера, т.к. код подвергается обфускации, т.е. кодированию. Антивирус просто не может найти совпадения по сигнатурам, но может выявить поведенческий паттерн, присущий эксплойту. Кстати, в Norton Antivirus встроена превентивная защита от эксплойтов (PEP), здесь есть обзор этой программы. Механизм PEP определяет угрозы нулевого дня, которые ещё не были исследованы разработчиками и не добавлены в базу. Важно то, что антивирус определяет вредоносный код до заражения системы, а не борется с последствиями после.
Есть сложность с обнаружением угроз 0-day, связанная с тем, что особо продвинутые эксплойты умеют скрывать своё существование. Впервые правила игры поменялись с появлением на чёрном рынке Exploit Pack Angler. Эксплоит умел обнаруживать антивирусы и среду выполнения на виртуальной машине, и в этом случае просто не работал. Из-за этого разработчикам стало намного сложнее исследовать эксплоит, т.к. в их рабочем окружении он никак себя не проявлял.
Выделим несколько советов по безопасности:
- Выходите в интернет только с включённым антивирусом с проверкой в режиме реального времени
- Используйте безопасные браузеры на основе Chromium: Google Chrome, Yandex Browser, Opera и Mozilla Firefox самых свежих версий
- Не отключайте автоообновления Windows, Microsoft Office и установленного ПО
- Скачивайте программы с официальных источников, либо проверяйте в онлайн сервисе VirusTotal