27 февр. 2009 г.
Следующие сигнатуры должны быть включены (с блокированием)чтобы гарантировать защиту вашей сети:
* MSRPC_Srvsvc_Bo
* MSRPC_Srvsvc_Path_Bo
* SMB_Empty_Password_Failed
* SMB_Auth_Failed
* MSRPC_Pipe_SAMR
* Windows_Access_Error
Порты 445 и 135 должны быть заблокированы на Firewell.
Другие средства защиты тоже срабатывают:
Win32.Worm.Agent (Proventia Desktop)
W32/Confick (Proventia Multifunction)
Последняя добавка к защите от червя Conficker (Kido, Downadup) была сделана в сигнатуре MSRPC_Srvsvc_Path_Bo
Бедный MSRPC: сколько еще в нем найдут переполнений буфера, а? Сколько уже эпидемий было благодаря ему: Blaster, Zotob/Esbot, ... - все использовали этот несчастный сервис.
26 февр. 2009 г.
До мира наконец дошло, что антивирусы от этих самых вирусов уже не защищают. Защита от червя Conficker он же Kido, он же Downadnup должна быть коплексной, поскольку он использует несколько способов распространения.
- Для защиты от атаки на RPC достаточно иметь IPS в сети или хостовой IPS на рабочей станции. Причем IPS защитит не только от Conficker но и от всех последующих червяков, которые наверняка будут появляться. На картинке нарисовал IBM Proventia IPS - у него защита от Conficker появилась еще 23 октября когда уязвимость в RPC была обнаружена.
- Для защиты от посещения вредоносных сайтов и для защиты от обновлений этого червяка достаточно поставить WEB фильтр - программа которая делит все сайты в Интернете на категории и не дает зайти на некоторые из них, например на сайты находящие в категории "содержащие вредоносный код". Нарисовал Proventia WEB Filter.
- Для защиты от атак соседних компьютеров, атак через браузер, почту и другие протоколы нужно поставить хостовую IPS. Нарисовал Proventia Desktop, который включает персональный firewall, хостовой IPS, контроль приложений, поведенческий антивирус и обычный сигнатурный от BitDefender.
- Для защиты от юзеров которые используют простые пароли нужно использовать сканер безопасности, поскольку он может, так же как и черви, перебирать пароли и сообщать о простых паролях админу - тот уже должен принимать меры.
Ну и конечно нужно управлять всей защитой - все управляется из единой консоли через SiteProtector.
Linux был написан студентом, затем другие студенты поддержали его начинание и стали дорабатывать ядро и писать под него приложения. Теперь эта ОС везде используется.
Чем хуже российские студенты? Ничем. Уже в 14-15 лет наши российские, украинские и белорусские ребята пишут нереально сложные программы - что уж говорить про студентов. Есть продвинутые ребята в ИСКИ Академии ФСБ, МИФИ, ВМК МГУ, которые за пояс заткнут кучу программистов Микрософт, SUN или Apple. Они уже на старших курсах настолько много знают про правила написания операционных систем, баз данных, сетевых протоколов, что сами пишут куски кода - осталось их только организовать в нужном направлении. Нужен один человек - организатор! Хватит уже про это говорить.. давайте делать, а?
Да, действительно потребуется несколько лет чтобы создать ядро и приложения. Но если эта ОС будет написана выпускниками Академии ФСБ, то не только спецслужбы, но и вся Россия сможет доверять этой ОС и верить, что там не будет закладок. ;-) А ведь это именно та цель, ради которой все хотят написать эту ОС.
Сейчас дома и на работе все страдают от одной беды – вставляют флешку в компьютер и сразу же заражаются. Вместо того, чтобы скачать нужные файлы мы начинаем бороться за жизнь компьютера, поскольку антивирусы этот факт не замечают!
Избавление очень простое – выключить автозапуск вируса с флешки, который по умолчанию происходит в Windows любой версии.
Отключить очень просто. Магический пасс: создайте текстовый файл с расширением .reg и кликните по нему два раза. Информация добавится в реестр и автозапуска больше не будет. Это работает на всех версиях Windows.
В файле следующий очень простой текст:
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
Работает на любом Windows от XP Home до Vista. Сделайте это прямо сейчас!
Продвинутые пользователи, использующие групповую политику gpedit.msc (там тоже можно отключить автозапуск) - не забывайте запустить gpupdate из командной строки!
Скажите это своим друзьям.