Интернет. Правила выживания.

Ваша информация - ваша собственность. Свою собственность надо защищать. О способах защиты информации в Интернет и повествуется в этой статье.

Все дальнейшее написано и точно годится для владельцев IBM PC-совместимых компьютеров с операционной системой Windows-95 и выше, выходящих в Интернет через dial-up соединение (через модем для обычной телефонной линии). Действия рекомендуется выполнять именно в указанной последовательности.

Какая такая информация есть на вашем компьютере, компьютере простого рядового пользователя Интернет? И кого она может заинтересовать? Ну хотя бы такая, как ваш логин и пароль для входа в Интернет. Кстати торговля “ломаными” входами в Сеть в Рунете (российском сегменте сети Интернет) очень широко распространена. Надо просто знать, где спрашивать. Одно из недавних выгодных предложений - полный анлимитед от N (провайдера не будем называть, но он - один из ведущих) всего за $15 в месяц, причем с гарантией, что если ваш ломаный логин накроют, вам тут же будет предоставлен новый. Страшно? Ну тогда давайте настраивать вашу безопасность в Сети.

Шаг 1. После настройки соединения с провайдером в папке Start - Programs - Accessories - Communications - Dial-Up Networking (для русского Виндовз: Пуск - Программы - Стандартные - Связь - Удаленный доступ к сети) вы должны открыть Properties (Свойства) этого соединения. На вкладке Server Types (Типы серверов) в разделе Allowed network protocols (Разрешенные сетевые протоколы) галкой должен быть отмечен только TCP/IP. Если у вас отмечен галкой протокол NetBEUI, то вы отличный кандидат для взлома. Этот протокол позволяет хакеру получать доступ к вашему компьютеру наравне с вами. То есть он может удаленно (через Интернет) лазить по диску вашего компьютера. Но далеко он не пойдет, он пойдет прямо в C:\Windows, где лежит файл Имя_компьютера.PWL, в котором хранятся все пароли, которая знает эта операционная система. Найдет его и скопирует на свой компьютер, где в спокойной обстановке при помощи стандартных средств (которые при желании можно легко найти в Интернет) расшифрует его и выдернет из него название вашего провайдера, номер телефона вашего любимого модемного пула, логин и пароль. И самое интересное: вы даже не будете знать о том, что кто-то залез в ваш компьютер.

Вы спросите, для чего тогда вообще предусмотрен этот протокол? Дело в том, что “Компания Microsoft всегда думает о том, как Вас сделать”. Поэтому в ее продукции специально предусмотрены дыры в безопасности, облегчающие доступ в ваш компьютер без вашего ведома. Потом компания Microsoft дополнительно делает деньги на том, что “всех спасает”. Такой вот нехитрый дополнительный бизнес.

Шаг 2. У вас, конечно, стоит Microsoft Outlook Express в качестве почтового клиента. Если нет, то вы уже давно не читаете эту статью, так как вы - продвинутый пользователь и скорее всего ничего нового я вам сообщить не могу. Что вам делать с вашим Outlook Express или просто Outlook? Удалить вместе с Microsoft Address Book (Адресной книгой). Дело в том, что эта Address Book поддерживает Visual Basic Script (запускает исполняемые файлы, написанные на языке макрокоманд Visual Basic, имеющие расширение vbs). Именно благодаря этой способности данного продукта Microsoft так успешно размножался недавно вирус I Love You. Это вирус для электронной почты, т.н. “червяк”, который без ведома простого пользователя делает всякие пакости. Самые знаменитые за последние пару лет червяки жили в файлах HAPPY99.EXE и LOVELETTER*.VBS (тот самый I Love You) и их разновидностях, которые многие получали по почте в качестве вложений в письма. Кроме слабости к вирусам программа Outlook отличается тем, что не умеет читать русские заголовки писем.

Вы уже намерены удалить Microsoft Outlook вместе с Microsoft Address Book? Читайте дальше, и вы начнете сомневаться в этом. Дело в том, что компания Microsoft, всегда думая теперь вы знаете о чем, всегда старается сделать так, чтобы расставание с ее продукцией проходило максимально болезненно для пользователя. В вашей Microsoft Address Book (Адресной книге) уже наверняка есть десяток-другой контактов. Так вот переносить их в другую адресную книгу вам придется, скорее всего, вручную. Да, в Microsoft Address Book предусмотрена возможность экспорта базы данных в файлы разных типов. Проблема в том, что ваша новая почтовая программа далеко не все из них будет знать. Так я увидел, что единственный способ перегнать базу из Microsoft Address Book в адресную книгу The Bat! (моя новая почтовая программа), это сначала экспортировать ее из Microsoft Address Book как Comma-separated text file (*.csv) - текстовый файл, в котором заголовок поля данных и сами значения разделены точкой с запятой. Этот формат поддерживается табличным процессором Microsoft Excel, но когда я открыл полученный после экспорта файл в Excel, там вместо полей и значений (таблица) все было свалено в одну кучу - в одну-единственную клетку. Адресная книга The Bat! при попытке импорта полученного файла также не поняла такого кривого экспорта. Поэтому мне пришлось все контакты распечатать на принтере из Microsoft Address Book, а потом ручками забивать контакты в адресную книгу The Bat! Но оно того стоило!

Вы вольны выбрать любой почтовый клиент (сходите на http://tucows.online.ru/window95.html в раздел “E-mail Clients”), но я рекомендую сузить выбор до “Eudora или The Bat!”. Я выбрал последнюю, т.к. она меньше по размеру. Вам надо будет после загрузки самой программы ее зарегистрировать. Можно воспользоваться честным но платным способом (сходите на http://www.ritlabs.com/the_bat/ - родина программы The Bat!, здесь есть много полезных дополнительных модулей для этой программы) или чуть менее честным но бесплатным способом (сходите на http://astalavista.box.sk/ и поищите “The Bat!” - вы найдете ссылки на регистрилки и генераторы ключей к этой замечательной программе, только следите, чтобы версия совпадала).

Чем The Bat! лучше Outlook Express:

• меньше по размеру (для меня это показатель того, насколько серьезно программист относится к своей работе, а от этого зависит качество программы),
• не восприимчива к червям,
• есть предупреждение о потенциальной опасности содержимого вложения,
• корректно экспортирует адресную книгу в формат Comma-separated text file (*.csv) - Microsoft Excel понимает и отображает базу в виде правильной таблицы,
• понимает (и не искажает) русские заголовки писем. Для этого надо в Account-Properties на вкладке Transport в разделе “8-bit characters are treated” поставить переключатель у “as Quoted-Printable”.

Чем The Bat! не хуже Outlook Express:

• тоже поддерживает русский язык писем (всегда, включая заголовки) и интерфейса (надо сгрузить дополнительные модули),
• тоже поддерживает Pretty Good Privacy - шифрование писем и цифровая подпись (надо сгрузить дополнительные модули).

Шаг 3. Пора научиться избегать прочих опасностей, связанных с электронной почтой. У вас должно быть 3-4 адреса электронной почты. Первый - самый главный - на почтовом сервере у провайдера (например, your_address@caravan.ru).

Этот адрес никто кроме вас знать не должен. Второй адрес - на бесплатном почтовом сервисе, которых и в России развелось очень много. Этот адрес должны знать те, с кем вы переписываетесь. Это ваш официальный почтовый адрес. Его же надо прописывать в настройках почтового клиента как Reply-To Address. Я бы выбирал сервис среди крупнейших, являющихся частью какого-либо портала Рунета, вроде Mail.ru - меньше вероятность того, что он исчезнет через некоторое время. Обязательное условие: ваш бесплатный почтовый сервис должен поддерживать форвардинг (пересылку на указанный адрес) почты. А в качестве адреса пересылки вы и укажете ваш e-mail адрес у провайдера. Смысл вот в чем: вы можете сменить провайдера на другого, и если при этом у вас будет официальный адрес на бесплатном сервисе, вам не придется рассылать всем вашим контактам уведомление о том, что у вас поменялся почтовый адрес. Вам лишь придется изменить адрес пересылки в настройках на бесплатном сервисе. В этом случае схема вашей почтовой переписки будет выглядеть, как на рисунке.

Третий почтовый адрес тоже следует завести на бесплатном почтовом сервисе. Можно на том же, что и второй, но обычно в правилах сервисов написано что-то типа “мы не гарантируем поддержание более одного почтового адреса на человека”. Но для третьего адреса рекомендуется указывать случайные (придумайте что-нибудь) анкетные данные, поэтому вряд ли на сервисе поймут, что эти 2 аккаунта принадлежат одному и тому же человеку. Этот адрес предназначен для опасных контактов. Например, если вы захотите подписаться на рассылку чего-нибудь и не уверены, что вас не завалят спамом. Или если занимаетесь чем-то противозаконным, а связь с вами нужна. В последнем случае входить на сервер и забирать/отсылать свою почту нужно только при помощи браузера и через прокси-сервер (чтобы прятать IP адрес). От третьего (а по желанию - четвертого и далее) почтового адреса вы должны быть способны избавиться в любой момент, чтобы при этом на вас нельзя было выйти.

И в заключение в теме “про почту” следует сказать о вложениях. Вложение (attachment) - файл, прикрепленный к электронному письму. Вирусы и прочие зловредные программы распространяются в потенциально опасных файлах с расширениями: exe, bat, dll, com, sys, vxd, vbs, bin, prg, doc, zip, arj. Это исполняемые файлы, архивы (могут быть заражены вирусом или содержать зараженный файл) и файлы, содержащие макрокоманды. Поэтому будьте особенно внимательны, получив вложение. Например, вы можете получить файл mynakedfoto.jpg__________________________.exe. В почтовом клиенте вы можете не увидеть полного названия файла и неверно предположить, что это рисунок. Поэтому получив ЛЮБОЙ файл, сначала сохраните его на диск. Потом откройте Windows Explorer (в русских Виндовз известен как “Проводник”) или используемую вами подобную программу и посмотрите на расширение. Если это действительно рисунок, можно не беспокоиться. В ином случае - обязательно проверьте этот файл на вирусы.

Шаг 4. Факт: все пересылаемые через Интернет данные можно перехватить. Но не все можно прочитать или даже распознать тип данных. Вы можете вести действительно тайную личную переписку при помощи бесплатной программы PGP (Pretty Good Privacy). Родина программы - http://www.pgpi.org. Бесплатная версия программы имеет все интересующие нас функции (шифрование и электронная подпись писем, файлов, исходящего трафика). Платная версия вдобавок может шифровать и расшифровывать в реальном времени данные на жестком диске (что-то вроде сейфа для файлов на вашем диске). Данное шифрование идеально подходит для ведения электронной переписки, т.к. основано на “открытом ключе”. Принцип работы пояснен в следующем примере. Есть Вася и Саша. Оба установили программу PGP версии 6.5, к примеру.

При установке программы (это можно делать потом и не однократно) вам предлагается создать пару ключей - личный (private) и общий (public). Каждая пара ключей (генерируются и используются они только парами) имеет срок годности от бесконечности (не рекомендуется) до суток (тоже не рекомендуется для не сверх-супер-мега-секретной переписки). Я позволю себе рекомендовать устанавливать срок годности в 4 месяца. Это обусловлено тем, что по моим данным ключ длиной 2048 бит можно “взломать” месяца за 4 при наличии тысячи-другой мощных компьютеров. Но к этому времени обычно информация устаревает, и возможность расшифровывать ваши следующие сообщения пропадает - у вас новая пара ключей.

И Вася, и Саша спрятали в надежном месте резервные копии своей пары ключей. Каждый знает, что никому нельзя отдавать свой личный ключ. При этом они обменялись копиями своих общих ключей (их можно никак не прятать, т.к. они - для общего пользования). Личный ключ Васи может расшифровывать все сообщения, зашифрованные общим ключом из данной пары. Для пользования личным ключом Вася должен знать пароль (passphrase) - назначается при генерации пары ключей и может быть потом изменен. Это сделано для того, чтобы никто не мог, завладев компьютером Васи, прочитать письмо, адресованное только ему. Общий ключ Васи должен использовать Саша для того, чтобы письмо мог прочитать только Вася. При этом Саша должен ввести свой пароль. Это сделано для того, чтобы никто не мог с компьютера Саши послать письмо с оскорблениями в адрес Васи якобы от самого Саши. Электронная подпись служит для двух целей. Во-первых, она подтверждает, что письмо написал именно Саша. Во-вторых, она подтверждает, что письмо на пути от Саши к Васе не было изменено.

Как видно из примера, все стороны коммуникаций при использовании PGP защищены. Если это не очевидно, попробуйте найти бреши в обороне.

На практике использование PGP выглядит следующим образом. Вы сгружаете PGP модули для своего почтового клиента с сайта компании-производителя вашего почтового клиента. В случае с The Bat! это файлы batpgp55.dll, batpgp60.dll, batpgp65.dll, сгруженные с сайта http://www.ritlabs.com/the_bat/. они поддерживают PGP версий 5.5, 6.0 и 6.5 соответственно. Эти файлы копируются в каталог с программой, в файл autoexec.bat прописывается строка “SET PATH=%PATH%;C:\PROGRA~1\PGP” (без кавычек), где вместо C:\PROGRA~1\PGP должен быть указан каталог, в котором установлена ваша копия The Bat! Звучит сложно, но фактически это делается автоматически программой The Bat! и один раз. Потом, написав письмо, в соответствующем меню (для The Bat! это Privacy) выбираете Sign and Encrypt (подписать и зашифровать), вводите пароль и отсылаете. Эти действия можно автоматизировать (но пароль вводить придется все равно). При получении зашифрованного письма в меню Tools-PGP выбирается Decrypt и вводится пароль. Обмен общими ключами можно производить либо через специальные сервера (это можно делать автоматически через программу PGP), либо путем прямой рассылки файла с общим ключом вашим контактам (что предпочтительно) после экспорта его из PGP.

Для того, чтобы наиболее эффективно использовать все возможности программы PGP, я настоятельно рекомендую почитать документацию (3 pdf файла, поставляемых в дистрибутиве) и Help к программе. Кстати этот совет подходит на все времена - читайте документацию. Там может быть написано то, что не может быть найдено методом “научного тыка”.

Шаг 5. На этом шаге описан необходимый минимум для безопасной работы с программой ICQ. В меню ICQ - Preferences&Security - Security&Privacy:

• На вкладке Security в разделе IP Publishing должна стоять галка напротив “Do not publish IP address”, переключатель в разделе Change ContactList Authorization напротив “My authorization is required”; в разделе Web Aware рекомендуется снять галку напротив “Allow others to view my online presence on World Wide Web” - если вы хотите чтобы ваш Invisible был таким хотя бы на 50%.
• На вкладке Ignore List должны стоять галки напротив: “Accept messages only from users on my contact list” (должна быть снята, если вы любите сидеть в Free for Chat режиме), “Do not accept EmailExpress messages”, “Do not accept Multi-Recipient Messages from” в ниспадающем меню должно быть выбрано “Users not on my Contact List”.

Это позволит вам на 90% избавиться от спама, распространяемого по ICQ. Вам также надо найти (опять http://astalavista.box.sk/) и поставить патч (напр., c-icq319) для ICQ, который показывает спрятанный IP адрес пользователя, у которого как и у вас стоит галка напротив “Do not publish IP address”. Этот же патч снимает необходимость авторизации (когда вы хотите занести к себе к контакт лист пользователя, у которого как и у вас переключатель в разделе Change ContactList Authorization стоит напротив “My authorization is required”. Для чего знать IP адрес? Для того, чтобы можно было либо нажаловаться на злодея, либо наказать его самостоятельно (средства для этого можно найти при помощи http://astalavista.box.sk/). Правила обращения с файлами в ICQ сходны с правилами для почты.

Шаг 6. Напоследок надо совершенно обезопасить себя от вторжения извне, а также от назойливых баннеров и выскакивающих окон. Нужна firewall! Идеальная firewall для нас - программа Atguard. Она настолько хороша, что хитрый Питер Нортон купил у производителя все права на нее и будет поставлять ее в комплекте со следующей версией своих Norton Utilities. В связи с этим распространение Atguard официально прекращено. Но Интернет не без добрых людей. На поисковом сайте http://ftpsearch.city.ru/ftpsearch.ru.html (для поиска файлов на ftp серверах) можно выяснить, что последняя версия этой программы лежит по адресу ftp://ftp.cocos.ru/pub/internet/ATguard/atguard322.zip (это лишь одна из ссылок). Ее надо загрузить, зарегистрировать и настроить. Настраивается она элементарно через меню Windows: Start - Setting - Control Panel (для Виндовз: Пуск - Настройки - Панель управления). Жмем на Atguard, переходим на вкладку Web. Здесь, на вкладке Active Content ставим галку напротив “Block only popup window script” - для блокировки всплывающих окон, которые открываются при помощи Java Script. На вкладке Firewall надо поставить галку напротив “Enable firewall” и проверить, чтобы стояла галка напротив “Enable Rule Assistant (interactive learning mode)”. Этим вы активизируете firewall и включите режим обучения (своего в первую очередь - вы узнаете, что такое порты и какие порты и протоколы используют определенные программы для выхода в Интернет). Теперь можете выходить в Интернет, Atguard запустится самостоятельно при обнаружении подключения. По мере запуска и работы программ, которые вы используете для работы в Интернет, Atguard будет узнавать (благодаря вам), разрешать или запрещать определенным программам посылать в Интернет или получать из него информацию. Основной принцип: запрещать контакты с внешним миром программам, которых вы не запускали. Например: у вас загружен Internet Explorer и ICQ (им вы уже разрешили контакты, поэтому Atguard молчит). Вдруг Atguard кричит, что некая программа Windows Kernel Component хочет что-то отослать через порт 30 по протоколу TCP/IP. Какая нам разница, что это ОС Windows всего лишь хочет отослать на сайт Microsoft список из реестра установленных программ. Зачем светиться лишний раз? Блокировать! Или другой пример: все нормально, но тут Atguard кричит, что с некоторого IP (он пишется) кто-то пытается что-то заслать на ваш компьютер. А зачем это ему? Блокировать! Кстати если IE (к примеру) не будет коннектиться и при этом вы при помощи Atguard что-то ему запрещаете, попробуйте разрешить. Если законнектится, значит вы переусердствовали с запретами. Для того, чтобы наиболее эффективно использовать все возможности программы Atguard, я настоятельно рекомендую почитать Help к программе. Оттуда вы узнаете в частности, как блокировать баннеры.

Вот и все, что знал - рассказал. Безопасной вам работы в Сети!